Цей набір Chrome для фішингу страшний, як пекло
Ще ніколи не було простіше обманювати людей, щоб вони передали свої облікові дані. Як показано в новому наборі інструментів для фішингу, спливаючі вікна єдиного входу (SSO) неймовірно легко підробити в Chrome, а URL-адреса вікна входу може не вказувати, чи дійсно сайт є легітимним.
Ви знаєте, як деякі веб-сайти дозволяють увійти за допомогою облікового запису Google, Apple, Facebook або Amazon? Це логін єдиного входу — це цінна економія часу, оскільки зменшується кількість імен користувачів і паролів, які вам потрібно запам’ятати.
Ось проблема; хакери можуть ідеально копіювати ці вікна єдиного входу в Chrome, навіть до URL-адреси. Новий набір для фішингу від dr.d0x, дослідника безпеки, містить готовий шаблон, за допомогою якого початківці хакери чи білі капелюхи можуть швидко створити переконливе спливаюче вікно єдиного входу. (Інші шаблони вже можуть плавати в колах хакерства.)
Хакери, які використовують ці підроблені вікна єдиного входу, приклеюють їх на всілякі веб-сайти. Хакер може надіслати вам електронний лист про ваш обліковий запис Dropbox, наприклад, і попросити вас перейти за певним посиланням. Це посилання може спрямовувати на підроблену веб-сторінку Dropbox з параметрами входу SSO для Google, Apple і Facebook. Будь-яка інформація, яку ви введете в ці підроблені поля SSO, як-от ваш логін Google, буде зібрано хакером.
Звичайно, піратські відео-сайти (та інші сайти, що пропонують «безкоштовні» речі) можуть бути найпоширенішим місцем для цих підроблених вікон SSO. Хакер може створити піратський відео-сайт, який вимагає входу в систему SSO, наприклад, фактично змушуючи людей передавати через свої облікові дані Google або Facebook.
Щоб уточнити, dr.d0x не винайшов SSO або фішинговий експлойт «браузер у браузері». Хакери почали підробляти вікна входу SSO кілька років тому. Цей фішинговий комплект просто показує, як працюють такі експлойти. Крім того, корпорації можуть використовувати цей набір, щоб перевірити здатність своїх співробітників виявляти фішингові схеми.
Уникнути фішингової атаки може бути складно. Я пропоную вам почати з встановлення менеджера паролів, який може часто виявляти спроби фішингу та допоможе вам використовувати унікальну інформацію для входу для кожного веб-сайту (що зменшує будь-які збитки від успішної фішингової атаки). Вам також слід уникати відкриття посилань в електронних листах або текстових повідомленнях, навіть якщо вони виглядають серйозними або законними.
Джерело: mr.d0x через BleepingComputer