Bezpečnostní expert mr.d0x se na svém webu pochlubil, jak by šlo ještě více vylepšit phishingové útoky – tentokrát zaměřené na přihlašování k webům skrze cizí autority. Třeba Google, Facebook, GitHub, Twitter a další systémy na protokolu OAuth.
Všichni to známe. Načtete web XYZ a namísto zdlouhavé tvorby účtu klepnete na tlačítko pro rychlé přihlášení skrze některý z výše jmenovaných ekosystémů. Mr.d0xův postup spoléhá na to, že jakmile se zobrazí přihlašovací dialog podobné autority, už mu povětšinou bezmezně věříme.
Takto vypadá legitimní přihlašování do služby Zerotier skrze účet Google
Vytvořil proto demo BITB – Browser In The Browser, které pomocí běžného HMTL, CSS a Javascriptu uvnitř stávajícího okna nasimuluje další vnořené okno prohlížeče. K dispozici jsou šablony pro Chrome na Windows a MacOS v tmavém i světlém režimu.
A toto je jeho phishingová verze pomocí BITB. Sekundární okno s formulářem je ve skutečnosti jen HTML, CSS a Javascript. Dali byste ruku do ohně, že se nenapálíte?
Záškodník tímto způsobem může vyvolat situaci, kdy se nad základní stránkou zobrazí další a zdánlivě důvěryhodné okno prohlížeče s adresním řádkem, ve kterém bude svítit dokonce i ikonka zámečku potvrzující důvěryhodnou doménu. Okénkem lze posouvat sem a tam, no a uvnitř se už zobrazí klasický přihlašovací formulář.
Přitom je to všechno jen HTML kód útočníka včetně zkopírovaného formuláře z webu Googlu. Jakmile tedy kdokoliv z nepozornosti vyplní přihlašovací údaje, už je v pasti.
Ukázka v praxi:
Phishing nemusí prolamovat systém – nemusí útočit na žádný konkrétní program a OS. Tím, na co útočí, je totiž naše vlastní psychika a nepozornost.
Není tedy divu, že to jsou právě sofistikovanější praktiky phishingu – tzv. spear phishing –, které dnes otevírají útočníkům vrátka do systému zdaleka nejčastěji. Prostě jim ta přihlašovací jména a hesla dáme zcela dobrovolně, a teprve pak zaútočí nějaký skutečný malware.