Ten zestaw do phishingu Chrome jest przerażający jak diabli
Nakłanianie ludzi do przekazywania swoich danych logowania nigdy nie było łatwiejsze. Jak pokazano w nowym zestawie narzędzi do phishingu, wyskakujące okienka jednokrotnego logowania (SSO) są niezwykle łatwe do sfałszowania w Chrome, a adres URL pola logowania może nie wskazywać, czy witryna jest naprawdę wiarygodna.
Wiesz, w jaki sposób niektóre strony internetowe umożliwiają logowanie za pomocą konta Google, Apple, Facebook lub Amazon? To logowanie SSO — to cenna oszczędność czasu, ponieważ zmniejsza liczbę nazw użytkowników i haseł, które musisz zapamiętać.
Oto problem; hakerzy mogą doskonale replikować te okna logowania jednokrotnego w Chrome, nawet do adresu URL. Nowy zestaw do phishingu od dr.d0x, badacza bezpieczeństwa, zawiera gotowy szablon, który nowicjusze mogą wykorzystać do szybkiego stworzenia przekonującego wyskakującego okienka SSO. (Inne szablony mogą już krążyć w kręgach hakerskich).
Hakerzy, którzy wykorzystują te fałszywe okna logowania jednokrotnego, umieszczają je na wszelkiego rodzaju stronach internetowych. Haker może na przykład wysłać Ci wiadomość e-mail o Twoim koncie Dropbox i poprosić Cię o odwiedzenie określonego łącza. Ten link może kierować do fałszywej strony internetowej Dropbox z opcjami logowania SSO dla Google, Apple i Facebook. Wszelkie informacje, które wprowadzisz w tych fałszywych polach logowania jednokrotnego, takie jak login Google, zostaną zebrane przez hakera.
Oczywiście najczęstszym miejscem docelowym tych fałszywych okien logowania jednokrotnego mogą być pirackie witryny wideo (i inne witryny oferujące „darmowe" treści). Haker może zbudować piracką witrynę wideo, która wymaga na przykład logowania jednokrotnego, skutecznie zmuszając ludzi do pod ręką nad ich danymi uwierzytelniającymi Google lub Facebook.
Aby wyjaśnić, dr.d0x nie wymyślił exploita typu SSO ani phishingu przeglądarki w przeglądarce. Hakerzy zaczęli kilka lat temu fałszować okna logowania SSO. Ten zestaw phishingowy po prostu pokazuje, jak działają takie exploity. Ponadto korporacje mogą używać tego zestawu do testowania zdolności swoich pracowników do wykrywania programów phishingowych.
Unikanie ataku phishingowego może być trudne. Proponuję zacząć od zainstalowania menedżera haseł, który często wykrywa próby phishingu i pomaga używać unikalnych danych logowania dla każdej strony internetowej (co zmniejsza wszelkie szkody spowodowane udanym atakiem phishingowym). Należy również unikać otwierania linków w e-mailach lub wiadomościach tekstowych, nawet jeśli wyglądają poważnie lub legalnie.
Źródło: mr.d0x przez BleepingComputer