Tento typ phishingového útoku zamotá hlavu i zkušeným IT expertům

Praha 5. května 2022 – Phishing, tedy forma útoku, kdy se narušitel snaží z oběti získat citlivá data je běžnou hrozbou, která existuje mnoho let. Využívá různé techniky sociálního inženýrství, aby přesvědčila nic netušícího uživatele k poskytnutí přihlašovacích údajů, které útočník sbírá. Nyní se objevila zcela nová technika, kterou dost možná neodhalí ani IT experti, a tak i oni mohou „naletět“.

I přes všechny různé ochranné systémy by dnes každý uživatel využívající internet měl být ve střehu. V případě surfování a dvojnásob při klikání na odkazy či přesměrování na jiné webové stránky, je vhodné si nejprve zkontrolovat správnost URL adresy – tedy, zda např. místo na google.com se neobjevil na googlle.com. „Pouze jedno jediné jiné písmenko může zadělat na velké problémy. Obě stránky mohou vypadat zcela stejně. Ovšem jen jedna je pravá. Ta druhá bude dost možná podvržená a má za cíl formou phishingu z uživatele vylákat osobní data,“ prozrazuje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.

Jakmile si je uživatel jistý, že je na správné adrese, potom by měl ještě zkontrolovat, zda se před adresou nachází ikona zámku (URL webu zobrazuje https, což znamená, že web je zabezpečen TLS/SSL šifrováním). Tím browser uživateli dává na vědomí, že komunikace s webem je zabezpečena. K těmto kontrolním krokům je od teď nutné přidat ještě jeden nový.

Téměř nezjistitelný phishing

Nová technika phishingu zvaná browser-in-the-browser (BitB) útok, kterou popsal penetrační tester mr.d0x, využívá k simulaci vyskakovací okno internetového 

prohlížeče v prohlížeči. Zejména jde o okna pro jednotné přihlášení třetích stran (SSO). 

V současné době není výjimkou, kdy uživatel k ověření své identity na nějaké webové stránce, službě či e-shopu, využije svůj již existující účet u Google, Microsoftu, Apple, Facebooku atd. Prostřednictvím vyskakovacího okna „Přihlásit se přes…“ nemusí stále dokola zakládat nové účty. Avšak zfalšováním tohoto okna, respektive legitimní domény, je možné připravit přesvědčivý phishingový útok.

Jak snadné je vytvořit identické okno

Zatímco výchozím chováním webové stránky při pokusu uživatele o přihlášení pomocí SSO metody k dokončení procesu ověřování je uvítání vyskakovacím oknem, útok BitB má za cíl replikovat celý tento proces pomocí kombinace HTML kódu a CSS stylu, a tak vytvořit zcela podvržené identické okno prohlížeče. „Zkombinovaný design okna s iframe prvkem, který ukazuje na škodlivý server hostující phishingovou stránku, je v podstatě k nerozeznání od toho pravého,“ uvádí mr.d0x.

Jen velmi málo uživatelů si všimne nepatrných rozdílů mezi těmito dvěma okny. Zdroj: mr.d0x

Ochrana před škodlivým vyskakovacím oknem

Jakmile uživatel vyplní přihlašovací údaje – nejčastěji jméno, nebo e-mail, případně telefonní číslo a zadá heslo – má zaděláno na problém, protože je nevědomky „vyzradí“. K jejich zneužití nemusí dojít okamžitě, ale informace jsou uloženy do databáze útočníka a ta spolu s jinými obratem nabídnuta k prodeji. Přihlašovací údaje tak zneužije až následný kupující. 

„Ochranou proti tomuto typu útoku je kromě kontroly URL, tedy toho, zda se skutečně nacházíme na správném webu a zda je komunikace šifrována to, že okno pro jednotné přihlášení uchopíme a zkusíme posunout mimo aktuálně načtenou webovou stránku. Pokud se to podaří, je vše v pořádku. Pokud nikoliv, jde
o JavaScriptové okno, které je podvrženo. Do něj přihlašovací údaje nikdy nevyplňujte,“ dodává závěrem Martin Lohnert. 

O společnosti Soitron

Soitron je IT integrátor inovativních řešení a technologií původem ze Slovenska. Dnes zaměstnává přes 800 lidí a jeho týmy pracují kromě Slovenska také v České republice, Rumunsku, Turecku, Bulharsku, Polsku a Velké Británii. Filozofií Soitronu je neustále se zlepšovat. Pomáhá klientům v různých odvětvích řídit jejich byznys efektivněji, rozvíjet ho a chránit před hrozbami online prostředí. Je dlouhodobým lídrem v oblasti IT infrastruktury a sítí, komunikačních řešení, IT služeb a IT outsourcingu. K dlouhodobým kompetencím Soitronu přibyly nové v oblasti internetu věcí (IoT), robotizace a automatizace, robotické procesní automatizace (RPA), umělé inteligence (AI), aplikací, cloudových řešení a vlastního security operations centra (SOC). Všechny tyto kompetence vedly k vytvoření vlastního IT konzultačního týmu, díky kterému dokáže porozumět byznysu a potřebám klientů s ohledem na rychlý vývoj technologií. Do jeho portfolia patří také řešení pro inteligentní policejní auta známá pod značkou Mosy a nová služba v oblasti kybernetické bezpečnosti – známá pod značkou Void.