Questo kit di Chrome Phishing è spaventoso da morire
Indurre le persone a consegnare le proprie credenziali di accesso non è mai stato così facile. Come mostrato in un nuovo toolkit di phishing, i popup Single Sign-On (SSO) sono incredibilmente facili da falsificare in Chrome e l’URL di una casella di accesso potrebbe non indicare se un sito è veramente legittimo.
Sai come alcuni siti Web ti consentono di accedere utilizzando il tuo account Google, Apple, Facebook o Amazon? Questo è un accesso SSO: è un prezioso risparmio di tempo, poiché riduce il numero di nomi utente e password che devi ricordare.
Ecco il problema; gli hacker possono replicare perfettamente queste finestre SSO in Chrome, anche fino all’URL. Un nuovo kit di phishing di dr.d0x, un ricercatore di sicurezza, include un modello già pronto che gli hacker principianti o i white hat possono utilizzare per creare rapidamente un pop-up SSO convincente. (Altri modelli potrebbero già essere presenti all’interno dei circoli di hacking.)
Gli hacker che utilizzano queste finestre SSO false le inseriranno in tutti i tipi di siti Web. Un hacker potrebbe inviarti un’e-mail sul tuo account Dropbox, ad esempio, e dirti di visitare un determinato link. Questo collegamento potrebbe indirizzare a una pagina Web Dropbox falsa con opzioni di accesso SSO per Google, Apple e Facebook. Tutte le informazioni che inserisci in queste false caselle SSO, come il tuo accesso a Google, verranno raccolte dall’hacker.
Naturalmente, i siti Web di video pirata (e altri siti che offrono contenuti "gratuiti") possono essere la destinazione più comune per queste finestre SSO contraffatte. Un hacker può creare un sito Web di video pirata che richiede un accesso SSO, ad esempio, costringendo efficacemente le persone a consegnare tramite le proprie credenziali Google o Facebook.
Per chiarire, dr.d0x non ha inventato l’exploit di phishing SSO o browser-in-browser. Gli hacker hanno iniziato a falsificare le finestre di accesso SSO diversi anni fa. Questo kit di phishing mostra semplicemente come funzionano tali exploit. Inoltre, le aziende possono utilizzare questo kit per testare la capacità dei propri dipendenti di individuare schemi di phishing.
Evitare un attacco di phishing può essere difficile. Ti suggerisco di iniziare installando un gestore di password, che può spesso rilevare tentativi di phishing e ti aiuterà a utilizzare informazioni di accesso univoche per ogni sito Web (riducendo eventuali danni da un attacco di phishing riuscito). Dovresti anche evitare di aprire link nelle e-mail o nei messaggi di testo, anche se sembrano seri o legittimi.
Fonte: mr.d0x tramite BleepingComputer