Key Takeaways
- Seorang peneliti keamanan telah menemukan cara untuk membuat pop-up login masuk tunggal yang sangat meyakinkan tetapi palsu.
- Pop-up palsu menggunakan URL yang sah agar lebih terlihat asli.
- Trik ini menunjukkan bahwa orang yang menggunakan kata sandi saja, cepat atau lambat kredensial mereka akan dicuri, para ahli memperingatkan.
Menjelajahi web semakin sulit setiap hari.
Sebagian besar situs web saat ini menawarkan beberapa opsi untuk membuat akun. Anda dapat mendaftar dengan situs web, atau menggunakan mekanisme masuk tunggal (SSO) untuk masuk ke situs web menggunakan akun Anda yang ada dengan perusahaan terkemuka seperti Google, Facebook, atau Apple. Seorang peneliti keamanan siber telah memanfaatkan ini dan merancang mekanisme baru untuk mencuri kredensial login Anda dengan membuat jendela login SSO palsu yang hampir tidak terdeteksi.
"Meningkatnya popularitas SSO memberikan banyak manfaat bagi [orang]," Scott Higgins, Direktur Teknik di Dispersive Holdings, Inc mengatakan kepada Lifewire melalui email. "Namun, peretas pintar sekarang memanfaatkan rute ini dengan cara yang cerdik."
Login Palsu
Secara tradisional, penyerang menggunakan taktik seperti serangan homograf yang mengganti beberapa huruf di URL asli dengan karakter yang mirip untuk membuat URL jahat baru yang sulit dikenali dan halaman login palsu.
Namun, strategi ini sering kali gagal jika orang-orang memeriksa URL dengan cermat. Industri keamanan siber telah lama menyarankan orang untuk memeriksa bilah URL untuk memastikannya mencantumkan alamat yang benar, dan memiliki gembok hijau di sebelahnya, yang menandakan bahwa laman web tersebut aman.
"Semua ini akhirnya membuat saya berpikir, apakah mungkin membuat saran 'Periksa URL' kurang dapat diandalkan? Setelah seminggu melakukan brainstorming saya memutuskan bahwa jawabannya adalah ya," tulis peneliti anonim yang menggunakan nama samaran, mr.d0x.
Serangan yang dibuat mr.d0x, bernama browser-in-the-browser (BitB), menggunakan tiga blok bangunan penting dari web-HTML, cascading style sheets (CSS), dan JavaScript-untuk membuat yang palsu Jendela pop-up SSO yang pada dasarnya tidak dapat dibedakan dari aslinya.
"Bilah URL palsu dapat berisi apa pun yang diinginkannya, bahkan lokasi yang tampaknya valid. Selanjutnya, modifikasi JavaScript membuatnya sehingga mengarahkan kursor ke tautan, atau tombol masuk, akan memunculkan tujuan URL yang tampaknya valid juga," tambah Higgins setelah memeriksa mr. mekanisme d0x.
Untuk mendemonstrasikan BitB, mr.d0x membuat versi palsu dari platform desain grafis online, Canva. Ketika seseorang mengklik untuk masuk ke situs palsu menggunakan opsi SSO, situs web akan memunculkan jendela masuk buatan BitB dengan alamat sah dari penyedia SSO palsu, seperti Google, untuk mengelabui pengunjung agar memasukkan kredensial masuk mereka, yaitu kemudian dikirim ke penyerang.
Teknik ini telah mengesankan beberapa pengembang web. "Ooh itu jahat: Browser In The Browser (BITB) Attack, teknik phishing baru yang memungkinkan mencuri kredensial yang bahkan tidak dapat dideteksi oleh profesional web," François Zaninotto, CEO perusahaan pengembangan web dan seluler Marmelab, menulis di Twitter.
Lihat Kemana Anda Pergi
Sementara BitB lebih meyakinkan daripada jendela login palsu biasa, Higgins membagikan beberapa tips yang dapat digunakan orang untuk melindungi diri mereka sendiri.
Sebagai permulaan, meskipun jendela pop-up BitB SSO tampak seperti pop-up yang sah, sebenarnya tidak. Oleh karena itu, jika Anda mengambil bilah alamat pop-up ini dan mencoba menyeretnya, itu tidak akan bergerak melampaui tepi jendela situs web utama, tidak seperti jendela pop-up asli yang sepenuhnya independen dan dapat dipindahkan ke mana saja. bagian dari desktop.
Higgins membagikan bahwa menguji keabsahan jendela SSO menggunakan metode ini tidak akan berfungsi di perangkat seluler."Di sinilah [otentikasi multi-faktor] atau penggunaan opsi otentikasi tanpa kata sandi benar-benar dapat membantu. Bahkan jika Anda menjadi mangsa serangan BitB, [para scammer] tidak serta merta dapat [menggunakan kredensial Anda yang dicuri] tanpa bagian lain dari rutinitas masuk MFA, " saran Higgins.
Internet bukan rumah kita. Ini adalah ruang publik. Kita harus memeriksa apa yang kita kunjungi.
Juga, karena ini adalah jendela masuk palsu, pengelola kata sandi (jika Anda menggunakannya) tidak akan secara otomatis mengisi kredensial, sekali lagi memberi Anda jeda untuk menemukan sesuatu yang salah.
Penting juga untuk diingat bahwa meskipun pop-up BitB SSO sulit dikenali, pop-up itu tetap harus diluncurkan dari situs jahat. Untuk melihat pop-up seperti ini, Anda pasti sudah berada di situs palsu.
Inilah sebabnya, dalam lingkaran penuh, Adrien Gendre, Chief Tech and Product Officer di Vade Secure, menyarankan agar orang-orang melihat URL setiap kali mereka mengeklik tautan.
Dengan cara yang sama kita memeriksa nomor di pintu untuk memastikan kita berakhir di kamar hotel yang tepat, orang harus selalu melihat URL dengan cepat saat menjelajahi situs web. Internet bukan rumah kita. Itu kan ruang publik. Kita harus cek apa yang kita kunjungi,” tegas Gendre.
