Lažni Chrome prozori mogu prevariti i najopreznije
Vesti, 21.03.2022, 10:30 AM
Ako spadate u one oprezne, možda biste primetili lažni prozor pregledača dizajniran da vas prevari da pomislite da ste na stranici za prijavu koja vam je potrebna. Stranica se možda neće pravilno učitati, grafika može biti suptilno promenjena ili URL može izgledati pogrešno, što će vas navesti da posumnjate da ste na pravom sajtu.
Međutim, svi saveti koje ste ikad videli ili čuli o tome kako da izbegnete fišing napad, mogli bi se pokazati beskorisnim zahvaljujući alatu koji je razvio jedan istraživač bezbednosti, pomoću kojeg bi čak i najoprezniji mogli da budu prevareni da pomisle da svoje podatke dele sa legitimnim sajtom.
Uobičajeni savet da se samo proveri URL da bi se izbegao fišing, zbog napada koji je dizajnirao istraživač bezbednosti mr.d0x nazvanog “Napad pregledača u pregledaču” („Browser in the Browser (BitB) Attack“), sada više nije dovoljan. mr.d0x je objavio je komplet alata za fišing pomoću kojih je moguće kreirati obrasce za prijavu za fišing koristeći lažne prozore Chrome pregledača.
Kada se prijavljujete na veb sajtove, često ćete videti opciju za prijavljivanje sa Google, Microsoft ili Apple nalogom. Na primer, obrazac za prijavu za DropBox vam omogućava da se prijavite pomoću Apple ili Google naloga. Kada kliknete na dugme “Login in with Google” ili “Login in with Apple”, prikazaće se prozor pregledača za SSO (single sign-on) prijavu, koji će od vas tražiti da unesete svoje podatke i prijavite se pomoću izabranog naloga.
Traka za adresu onemogućena je u SSO prozorima, ali bez obzira na to možete da koristite prikazanu URL adresu da biste proverili da li se recimo legitimni google.com domen koristi za prijavu na sajt.
Hakeri su u prošlosti pokušavali da kreiraju lažne SSO prozore koristeći HTML, CSS i JavaScript, ali obično postoji nešto u vezi sa prozorima što ih čini sumnjivim.
Novi „Browser in the Browser (BitB) Attack“ alat koji je objavio mr.d0x koristi unapred pripremljene šablone za kreiranje lažnih, ali realističnih Chrome iskačućih prozora koji uključuju prilagođene URL adrese. U suštini, ovaj napad podrazumeva lažne prozore pregledača unutar stvarnih prozora pregledača.
mr.d0x je šablone objavio na GitHubu. On je rekao BleepingComputeru da su šabloni veoma jednostavni za korišćenje i da se mogu koristiti za bilo koju onlajn platformu.
Ako koristite menadžer lozinki, BitB napad će biti neuspešan jer menažer lozinki neće automatski popunjavati podatke za prijavu zato što BitB ne prikazuje prave obrasce.
Pored toga, da bi ovakav napad bio uspešan, potencijalna žrtva se mora dovesti na sajt napadača, što znači da ako ste oprezni sa linkovima u imejl ili SMS porukama, mogli biste izbeći ovakav napad.
Izdvojeno
Google testira plave verfikacione oznake za linkove u pretrazi
Google je počeo da eksperimentiše sa novom funkcijom verifikacije u pretrazi koja bi trebalo da pomogne korisnicima da izbegnu klikove na linkove za... Dalje
Microsoft u Defender dodaje detekciju nebezbednih WiFi mreža
Microsoft je najavio značajno ažuriranje svog softvera Microsoft Defender, sa ciljem poboljšanja bezbednosti korisnika automatskim otkrivanjem nebe... Dalje
Više od trećine zaposlenih tajno deli poslovne informacije sa AI alatima
Više od trećine (38%) zaposlenih deli osetljive poslovne podatke sa AI alatima bez dozvole svog poslodavca, pokazuju podaci iz novog istraživanju ... Dalje
Hakeri mogu daljinski kontrolisati Kia automobile samo uz pomoć registarskih tablica
Ranjivost u vozilima Kia mogla je omogućiti hakerima da daljinski kontrolišu automobile koristeći samo registarske tablice. Greška je ispravljen... Dalje
Reklame na društvenim mrežama igrače League of Legends vode do opasnog malvera
Bitdefender upozorava da sajber kriminalci koriste Svetsko prvenstvo League of Legends (LoL) za širenje malvera u napadima koji ciljaju igrače širo... Dalje
Pratite nas
Nagrade