Detta Chrome Phishing Kit är skrämmande som fan
Att lura människor att lämna över sina inloggningsuppgifter har aldrig varit enklare. Som visas i en ny verktygslåda för nätfiske är popup-fönster för enkel inloggning (SSO) otroligt lätta att förfalska i Chrome, och en inloggningsrutas URL kanske inte indikerar om en webbplats verkligen är legitim.
Vet du hur vissa webbplatser låter dig logga in med ditt Google-, Apple-, Facebook- eller Amazon-konto? Det är en SSO-inloggning – det är en värdefull tidsbesparing eftersom det minskar antalet användarnamn och lösenord som du behöver komma ihåg.
Här är problemet; hackare kan perfekt replikera dessa SSO-fönster i Chrome, även ner till URL:en. Ett nytt phishing-kit från dr.d0x, en säkerhetsforskare, innehåller en färdig mall som nybörjare eller vita hattar kan använda för att snabbt bygga en övertygande SSO-popup. (Andra mallar kan redan sväva runt i hackningskretsar.)
Hackare som använder dessa falska SSO-fönster kommer att fästa dem på alla möjliga webbplatser. En hacker kan till exempel skicka ett e-postmeddelande om ditt Dropbox-konto och säga åt dig att besöka en viss länk. Den här länken kan leda till en falsk Dropbox-webbsida med SSO-inloggningsalternativ för Google, Apple och Facebook. All information du anger i dessa falska SSO-rutor, som din Google-inloggning, kommer att samlas in av hackaren.
Naturligtvis kan piratvideowebbplatser (och andra webbplatser som erbjuder "gratis" grejer) vara den vanligaste destinationen för dessa falska SSO-fönster. En hackare kan bygga en piratvideowebbplats som kräver en SSO-inloggning, vilket effektivt tvingar människor till hands över sina Google- eller Facebook-uppgifter.
För att förtydliga, uppfann inte dr.d0x SSO eller nätfiske i webbläsare. Hackare började spoofa SSO-inloggningsfönster för flera år sedan. Detta nätfiske-kit visar helt enkelt hur sådana utnyttjande fungerar. Dessutom kan företag använda detta kit för att testa sina anställdas förmåga att upptäcka nätfiske.
Att undvika en nätfiskeattack kan vara svårt. Jag föreslår att du börjar med att installera en lösenordshanterare, som ofta kan upptäcka nätfiskeförsök och hjälper dig att använda unik inloggningsinformation för varje webbplats (vilket minskar eventuella skador från en framgångsrik nätfiskeattack). Du bör också undvika att öppna länkar i e-postmeddelanden eller sms, även om de ser seriösa eller legitima ut.
Källa: mr.d0x via BleepingComputer