Pratite nas preko RSS-aLažni Chrome prozori mogu prevariti i najopreznije
Vesti, 21.03.2022, 10:30 AM
Ako spadate u one oprezne, možda biste primetili lažni prozor pregledača dizajniran da vas prevari da pomislite da ste na stranici za prijavu koja vam je potrebna. Stranica se možda neće pravilno učitati, grafika može biti suptilno promenjena ili URL može izgledati pogrešno, što će vas navesti da posumnjate da ste na pravom sajtu.
Međutim, svi saveti koje ste ikad videli ili čuli o tome kako da izbegnete fišing napad, mogli bi se pokazati beskorisnim zahvaljujući alatu koji je razvio jedan istraživač bezbednosti, pomoću kojeg bi čak i najoprezniji mogli da budu prevareni da pomisle da svoje podatke dele sa legitimnim sajtom.
Uobičajeni savet da se samo proveri URL da bi se izbegao fišing, zbog napada koji je dizajnirao istraživač bezbednosti mr.d0x nazvanog “Napad pregledača u pregledaču” („Browser in the Browser (BitB) Attack“), sada više nije dovoljan. mr.d0x je objavio je komplet alata za fišing pomoću kojih je moguće kreirati obrasce za prijavu za fišing koristeći lažne prozore Chrome pregledača.
Kada se prijavljujete na veb sajtove, često ćete videti opciju za prijavljivanje sa Google, Microsoft ili Apple nalogom. Na primer, obrazac za prijavu za DropBox vam omogućava da se prijavite pomoću Apple ili Google naloga. Kada kliknete na dugme “Login in with Google” ili “Login in with Apple”, prikazaće se prozor pregledača za SSO (single sign-on) prijavu, koji će od vas tražiti da unesete svoje podatke i prijavite se pomoću izabranog naloga.
Traka za adresu onemogućena je u SSO prozorima, ali bez obzira na to možete da koristite prikazanu URL adresu da biste proverili da li se recimo legitimni google.com domen koristi za prijavu na sajt.
Hakeri su u prošlosti pokušavali da kreiraju lažne SSO prozore koristeći HTML, CSS i JavaScript, ali obično postoji nešto u vezi sa prozorima što ih čini sumnjivim.
Novi „Browser in the Browser (BitB) Attack“ alat koji je objavio mr.d0x koristi unapred pripremljene šablone za kreiranje lažnih, ali realističnih Chrome iskačućih prozora koji uključuju prilagođene URL adrese. U suštini, ovaj napad podrazumeva lažne prozore pregledača unutar stvarnih prozora pregledača.
mr.d0x je šablone objavio na GitHubu. On je rekao BleepingComputeru da su šabloni veoma jednostavni za korišćenje i da se mogu koristiti za bilo koju onlajn platformu.
Ako koristite menadžer lozinki, BitB napad će biti neuspešan jer menažer lozinki neće automatski popunjavati podatke za prijavu zato što BitB ne prikazuje prave obrasce.
Pored toga, da bi ovakav napad bio uspešan, potencijalna žrtva se mora dovesti na sajt napadača, što znači da ako ste oprezni sa linkovima u imejl ili SMS porukama, mogli biste izbeći ovakav napad.
Izdvojeno
Android botneti Kimwolf i Aisuru ostali bez komandnih servera
Istraživači iz Black Lotus Labs, odeljenja za analizu pretnji kompanije Lumen Technologies, uspeli su da ugase veliki deo infrastrukture botneta Kim... Dalje
Google objavio hitno upozorenje o privatnosti za 1,5 milijardi korisnika Google Photos
Google je izdao upozorenje za oko 1,5 milijardi korisnika Google Photos servisa, nakon optužbi da kompanija koristi fotografije korisnika za obučava... Dalje
Hakeri koriste novi trik za krađu Facebook naloga
Tokom poslednjih šest meseci, sajber kriminalci sve intenzivnije koriste tzv. „browser-in-the-browser“ (BitB) tehniku kako bi prevarili k... Dalje
Dve Chrome ekstenzije krale razgovore korisnika sa ChatGPT-om i DeepSeek-om
Bezbednosni istraživači iz kompanije OX Security otkrili su dve zlonamerne ekstenzije u Chrome Web Store-u koje su korišćene za krađu razgovora k... Dalje
Srećni praznici!
Dragi čitaoci, želimo vam dobro zdravlje i srećnu i uspešnu 2026. godinu. Tokom praznika sajt neće biti ažuriran. Sa redovnim sadržajem nastavl... Dalje
Pratite nas
Nagrade
Prijatelji
