Lažni Chrome prozori mogu prevariti i najopreznije

Vesti, 21.03.2022, 10:30 AM

Lažni Chrome prozori mogu prevariti i najopreznije

Ako spadate u one oprezne, možda biste primetili lažni prozor pregledača dizajniran da vas prevari da pomislite da ste na stranici za prijavu koja vam je potrebna. Stranica se možda neće pravilno učitati, grafika može biti suptilno promenjena ili URL može izgledati pogrešno, što će vas navesti da posumnjate da ste na pravom sajtu.

Međutim, svi saveti koje ste ikad videli ili čuli o tome kako da izbegnete fišing napad, mogli bi se pokazati beskorisnim zahvaljujući alatu koji je razvio jedan istraživač bezbednosti, pomoću kojeg bi čak i najoprezniji mogli da budu prevareni da pomisle da svoje podatke dele sa legitimnim sajtom.

Uobičajeni savet da se samo proveri URL da bi se izbegao fišing, zbog napada koji je dizajnirao istraživač bezbednosti mr.d0x nazvanog “Napad pregledača u pregledaču” („Browser in the Browser (BitB) Attack“), sada više nije dovoljan. mr.d0x je objavio je komplet alata za fišing pomoću kojih je moguće kreirati obrasce za prijavu za fišing koristeći lažne prozore Chrome pregledača.

Kada se prijavljujete na veb sajtove, često ćete videti opciju za prijavljivanje sa Google, Microsoft ili Apple nalogom. Na primer, obrazac za prijavu za DropBox vam omogućava da se prijavite pomoću Apple ili Google naloga. Kada kliknete na dugme “Login in with Google” ili “Login in with Apple”, prikazaće se prozor pregledača za SSO (single sign-on) prijavu, koji će od vas tražiti da unesete svoje podatke i prijavite se pomoću izabranog naloga.

Traka za adresu onemogućena je u SSO prozorima, ali bez obzira na to možete da koristite prikazanu URL adresu da biste proverili da li se recimo legitimni google.com domen koristi za prijavu na sajt.

Hakeri su u prošlosti pokušavali da kreiraju lažne SSO prozore koristeći HTML, CSS i JavaScript, ali obično postoji nešto u vezi sa prozorima što ih čini sumnjivim.

Novi „Browser in the Browser (BitB) Attack“ alat koji je objavio mr.d0x koristi unapred pripremljene šablone za kreiranje lažnih, ali realističnih Chrome iskačućih prozora koji uključuju prilagođene URL adrese. U suštini, ovaj napad podrazumeva lažne prozore pregledača unutar stvarnih prozora pregledača.

mr.d0x je šablone objavio na GitHubu. On je rekao BleepingComputeru da su šabloni veoma jednostavni za korišćenje i da se mogu koristiti za bilo koju onlajn platformu.

Ako koristite menadžer lozinki, BitB napad će biti neuspešan jer menažer lozinki neće automatski popunjavati podatke za prijavu zato što BitB ne prikazuje prave obrasce.

Pored toga, da bi ovakav napad bio uspešan, potencijalna žrtva se mora dovesti na sajt napadača, što znači da ako ste oprezni sa linkovima u imejl ili SMS porukama, mogli biste izbeći ovakav napad.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google upozorio na ranjivosti iOS i Androida koje se koriste za instalaciju komercijalnog špijunskog softvera

Google upozorio na ranjivosti iOS i Androida koje se koriste za instalaciju komercijalnog špijunskog softvera

Googleova grupa za analizu pretnji (TAG) otkrila je da prati preko 30 komercijalnih proizvođača špijunskog softvera koji olakšavaju širenje malve... Dalje

Otvoreno pismo Maska, Voznijaka i grupe stručnjaka za AI: Trka za razvoj sistema veštačke inteligencije je van kontrole

Otvoreno pismo Maska, Voznijaka i grupe stručnjaka za AI: Trka za razvoj sistema veštačke inteligencije je van kontrole

Ilon Musk i grupa stručnjaka za veštačku inteligenciju pozvala je da se privremeno obustavi obuka moćnih sistema veštačke inteligencije zbog po... Dalje

Microsoft predstavio Security Copilot, novog GPT-4 AI pomoćnika za sajber bezbednost

Microsoft predstavio Security Copilot, novog GPT-4 AI pomoćnika za sajber bezbednost

Nakon najave Copilot pomoćnika sa veštačkom inteligencijom za Office aplikacije, Microsoft je najavio još jednog pomoćnika koji je nazvan Securi... Dalje

Zbog bezbednosti Francuska zabranila sve aplikacije za zabavu na uređajima zaposlenih u državnim službama

Zbog bezbednosti Francuska zabranila sve aplikacije za zabavu na uređajima zaposlenih u državnim službama

Poslednjih nekoliko meseci, vlade širom sveta zabranjuju TikTok na uređajima zvaničnika. Holandija i Norveška su poslednje koje su se pridružile ... Dalje

Veb servisi APR-a zbog sajber napada nedostupni korisnicima

Veb servisi APR-a zbog sajber napada nedostupni korisnicima

Agencija za privredne registre (APR) objavila je da su tokom jučerašnjeg i današnjeg dana veb servisi APR-a bili meta sajber napada, koji je prijav... Dalje