Vienas iš plačiausiai naudojamų būdų, kuriais kibernetiniai nusikaltėliai bando pavogti jūsų duomenis ir asmeninę informaciją, yra sukčiavimas.

Tačiau mes pripratome prie sukčiavimo ir žinome, į ką reikia atkreipti dėmesį. Štai čia atsiranda „Naršyklės naršyklėje“ ataka. Taigi, kas yra naršyklės naršyklėje ataka? Ir kaip nuo to apsiginti?

Kas yra naršyklės ataka naršyklėje?

Naršyklės naršyklėje (BiTB) ataka imituoja prisijungimo langą su suklastotu domenu pagrindinėje naršyklės lange, kad pavogtų kredencialus. Šis sukčiavimo būdas visų pirma naudoja vieno prisijungimo autentifikavimo modelį, kad apgautų vartotoją, kad jis atskleistų neskelbtiną informaciją, daugiausia jų prisijungimo duomenis.

Kas yra vieno prisijungimo autentifikavimas?SSO prisiregistravimo raginimas

Kai prisiregistruojate gauti naują paslaugą ar naują svetainę, kartais yra galimybė prisiregistruoti prijungus savo paskyrą, naudodami „Google“, „Apple“ ir kitas trečiųjų šalių paslaugas, o ne rankiniu būdu prisiregistruodami naudodami el. pašto adresą ir Slaptažodis.

instagram viewer

Tai atliekama naudojant vieno prisijungimo autentifikavimo sistemą. Vieno prisijungimo arba SSO funkcionalumo integravimas žiniatinklio programose yra beveik visur ir dėl geros priežasties.

SSO palengvina greitesnį paskyros autentifikavimą ir kūrimą naudojant atskirą kredencialų rinkinį visoms paslaugoms ir svetainėms. Nereikia turėti atskirų el. pašto adresų ir slaptažodžių rinkinių kiekvienai svetainei, prie kurios turite prisijungti.

Prisijungimo procesas yra nesudėtingas. Viskas, ką jums reikia padaryti, tai pasirinkti trečiosios šalies paslaugą, prie kurios norite prisijungti, ir spustelėti Registruotis mygtuką. Atsidarys naujas naršyklės langas, kuriame prisijungsite naudodami tos trečiosios šalies paslaugos kredencialus; pavyzdžiui, Google. Sėkmingai prisijungus ir patvirtinus kredencialus, sukuriama nauja paskyra svetainėje.

Suklastotas vieno prisijungimo autentifikavimo langas

Kai vartotojai prisiregistruoja pažeistoje svetainėje, jiems pateikiamas netikras iššokantis langas, imituojantis tikro SSO autentifikavimo lango išvaizdą. SSO autentifikavimo sistema egzistuoja pakankamai seniai, kad paprastas vartotojas prie jos priprato, pašalindamas įtarimą.

Be to, domeno vardas, sąsaja ir SSL sertifikato indikatorius gali būti suklastotas keliomis HTML ir CSS eilutėmis, kad būtų imituojamas tikras prisijungimo raginimo langas.

Auka nemirktelėjusi įveda savo kredencialus ir kai tik pataiko Įeikite savo klaviatūroje jie atiduoda savo virtualų gyvenimą ir viską, kas su juo susiję.

Kaip nustatoma naršyklės naršyklėje ataka

Kadangi ši sukčiavimo technika sukasi apie SSO autentifikavimą, pirmiausia reikia kibernetiniams nusikaltėliams tai padaryti, tai svetainėje nustatyti apgaulingą SSO autentifikavimą, tada pasiekti, kad taikinys būtų nukreiptas į kenkėjišką svetainę. Taikinys prisiregistruoja su netikru SSO, o jo kredencialai saugomi užpuoliko duomenų bazėje.

Nors teoriškai procesas gali pasirodyti sudėtingas, iš tikrųjų visus šiuos veiksmus galima lengvai automatizuoti naudojant sukčiavimo sistemą ir tinklalapių šablonus. Saugumo tyrinėtojai jau padarė paskelbtus šablonus kurie atkartoja „Google“, „Facebook“ ir „Apple“ prisijungimo puslapius – tai raktas į BiTB ataką.

Kaip apsisaugoti nuo naršyklės atakų

Perspėjantis ženklas apie netikrą ar kenkėjišką svetainę arba iššokantįjį langą yra jos URL. Prieš įvesdami ką nors jautraus, atidžiai patikrinkite svetainės URL. Dažniau nebegalioja arba jo nėra SSL sertifikatas (žymimas nubraukta spynos ženklu) arba šešėlinis URL turėtų būti pakankamas įrodymas, kad bet kuris naudotojas būtų pašalintas iš svetainės. Vis dėlto kibernetiniai nusikaltėliai darosi vis protingesni ir vis geriau nuslėpia viską, kas gali sukelti įtarimų.

Nors URL ir SSL sertifikato tikrinimas padeda patikrinti svetainės autentiškumą, BiTB atakas tikrai sunku aptikti tik iš jų URL, nes jos gerai užmaskuotos. Taigi, jūs visada turėtumėte žengti papildomą mylią patikrinkite, ar svetainė yra saugi nes jūsų saugumas visada yra svarbiausias.

Štai keli dalykai, kuriuos reikia patikrinti, kad apsisaugotumėte nuo naršyklės naršyklėje atakų:

  • Patikrinkite, ar naršyklėje iššokantis prisijungimo langas yra smėlio dėžėje. Nesąžiningas prisijungimo langas iš tikrųjų nėra tikras naršyklės langas; veikiau tai yra modeliavimas, sukurtas naudojant HTML ir CSS, todėl kai tik ištrauksite jį iš naršyklės ekrano vietos, duomenys turėtų išnykti. Jei apskritai negalite vilkti prisijungimo lango iš pagrindinio naršyklės lango, tai taip pat reiškia, kad esate kenkėjiškoje svetainėje.
  • Naudokite slaptažodžių tvarkykles. Kadangi sukčiavimo langas nėra tikras naršyklės langas, jo neaptiks jokia slaptažodžių tvarkyklė, kai įjungtas automatinis užbaigimas. Tai rodo, kad esama piktybiškų ketinimų ir padeda atskirti netikrą iššokantįjį langą nuo tikro. Būtinai turėtumėte patikrinti geriausios slaptažodžių tvarkyklės jūsų įrenginiams.
  • Kaip taisyklė, nespustelėkite jokios jums persiųstos nuorodos. Ir venkite įvesti kredencialus šešėlinėse svetainėse. Tai yra pagrindinė taisyklė, norint apsiginti ne tik nuo konkrečios sukčiavimo atakos, bet ir nuo visų rūšių atakų ir metodų. Būkite atsargūs, kuo pasitikite.
  • Naudokite į saugumą orientuoti naršyklės plėtiniai. Jie turėtų jus įspėti, kai iškyla neišvengiama grėsmė. Pavyzdžiui, norėdami aptikti kenkėjiškus „iframe“ įterpimus, galite įdiegti plėtinį kuri aptinka ir apsaugo jus nuo galimų BiTB atakų.

Naršykite internete saugiai

Internetas gali būti baisi vieta. Nors kibernetiniai nusikaltimai yra nesibaigianti dilema, jūs neturite jos gąsdinti, jei nustatote tinkamas apsaugos priemones, žinote apie save ir laikotės visų bendrų geriausių praktikų. Svarbu visada išlikti budriems; Jei žinote naujausius sukčiavimo ir įsilaužimo būdus, tai reiškia, kad esate žaidimo priekyje.