Этот набор для фишинга Chrome чертовски страшен
Обманом заставить людей передать свои учетные данные никогда не было так просто. Как показано в новом наборе инструментов для фишинга, всплывающие окна единого входа (SSO) невероятно легко подделать в Chrome, а URL-адрес окна входа может не указывать, действительно ли сайт является законным.
Вы знаете, как некоторые веб-сайты позволяют вам войти в систему, используя свою учетную запись Google, Apple, Facebook или Amazon? Это вход в систему SSO — это ценная экономия времени, так как сокращается количество имен пользователей и паролей, которые вам нужно запомнить.
Вот проблема; хакеры могут идеально воспроизвести эти окна SSO в Chrome, вплоть до URL-адреса. Новый набор для фишинга от dr.d0x, исследователя безопасности, включает в себя готовый шаблон, который начинающие хакеры или белые шляпы могут использовать для быстрого создания убедительного всплывающего окна SSO. (Другие шаблоны могут уже циркулировать в хакерских кругах.)
Хакеры, которые используют эти фальшивые окна SSO, будут вставлять их на всевозможные веб-сайты. Хакер может отправить вам электронное письмо, например, о вашей учетной записи Dropbox, и попросить вас перейти по определенной ссылке. Эта ссылка может вести на поддельную веб-страницу Dropbox с параметрами входа SSO для Google, Apple и Facebook. Любая информация, которую вы вводите в эти поддельные поля SSO, например ваш логин Google, будет собрана хакером.
Конечно, пиратские видео-сайты (и другие сайты, предлагающие «бесплатные» материалы) могут быть наиболее распространенным местом назначения для этих поддельных окон SSO. через свои учетные данные Google или Facebook.
Чтобы уточнить, dr.d0x не изобретал SSO или фишинговый эксплойт «браузер в браузере». Хакеры начали подделывать окна входа SSO несколько лет назад. Этот фишинговый набор просто показывает, как работают такие эксплойты. Кроме того, корпорации могут использовать этот комплект для проверки способности своих сотрудников обнаруживать схемы фишинга.
Избежать фишинговой атаки может быть сложно. Я предлагаю вам начать с установки менеджера паролей, который часто может обнаруживать попытки фишинга и поможет вам использовать уникальную информацию для входа на каждый веб-сайт (что снижает любой ущерб от успешной фишинговой атаки). Вам также следует избегать открытия ссылок в электронных письмах или текстовых сообщениях, даже если они выглядят серьезными или законными.
Источник: mr.d0x через BleepingComputer