Nieuwe browser-in-browser-techniek is perfect voor phishing
Een anonieme hacker met het pseudoniem mr.d0x zette onlangs een gedetailleerd rapport online over de ‘browser-in-the-browser’-aanval (BitB). Deze techniek kan een browservenster binnen de browser nabootsen en zo een legitiem domein simuleren. Op die manier kunnen hackers steeds succesvollere phishing-aanvallen uitvoeren.
© Shutterstock
Shutterstock
De nieuwe methode maakt gebruik van single sign-on (SSO)-opties van derden die zijn ingebed in websites met een pop-upvenster voor authenticatie. Denk aan de welbekende vensters met 'Meld je aan met ... Google, Facebook, Apple of Microsoft’. Veel sites gebruiken SSO tegenwoordig als manier om in te loggen. Volgens het bericht van mr.d0x -volgens zijn bio pentester- is het bouwen van een kwaadaardige versie van zo’n pop-up venster een fluitje van een cent met HTML/CSS.
“Combineer het vensterontwerp met een iframe dat naar de server verwijst die de phishing-pagina host, en het is in principe niet van echt te onderscheiden”, schrijft hij.
Misleidend
Met de nieuwe aanvalsmethode kunnen gebruikers niet meer vertrouwen op de trucs die ze aangeleerd hebben, zoals het checken van het slotje in de adresbalk, de https in de url die aangeeft dat de site beveiligd is met TLS/SSL-encryptie of met de muis over de link gaan om deze te checken.
De BitB-aanval kan namelijk ook de mensen misleiden die deze laatste truc gebruiken om te zien of een URL legitiem is, zegt mr.d0x. “Als JavaScripts is toegestaan, is de beveiliging niet meer effectief. Dat kan gemakkelijk worden gebruikt om het venster te laten verschijnen bij een klik op een link of knop, bij het laden van de pagina, etc.”
Sjablonen op GitHub
Valse pop-up-aanvallen zijn al eerder geprobeerd, maar ze zagen er over het algemeen verschrikkelijk uit – zo niet die van mr.d0x. Hij heeft eenvoudig te gebruiken sjablonen gemaakt die SSO-pagina's nabootsen op zowel Google Chrome als op Mac als Windows, en zelfs in lichte en donkere modus. Deze sjablonen staan op GitHub. Hoewel hij zich realiseert dat hackers met deze techniek in staat zijn hun phishing-aanvallen te verbeteren, vormen de sjablonen eveneens enorm handige tools voor pentesters.
Password managers
Er zijn wel beperkingen is de nieuwe aanvalstechniek. Om inloginformatie van gebruikers te kunnen verkrijgen, moeten zij wel eerst op de website komen waar het vervalste BitB-venster draait. Bovendien is het onwaarschijnlijk dat de techniek andere software misleidt. Password managers, bijvoorbeeld, vullen waarschijnlijk niet automatisch inloggegevens in een BitB venster in, omdat ze het niet als een echt browservenster zien. Om gebruikers te beschermen tegen de nieuwe phishing-techniek is het gebruik van een password manager dus raadzaam.
Wachtwoordloos
Nog beter is om wachtwoorden volledig los te laten, betoogt Piet Kerkhofs, CTO bij EYE Security. Hij doelt op passwordless MFA. Voor cybercriminelen is het significant moeilijker om in te breken op netwerken waarop gebruikers wachtwoordloos inloggen dan op netwerken waar gebruikers zich aanmelden met een wachtwoord. “Aanvallers zijn inmiddels vrij bedreven in het afhandig maken van wachtwoorden van gebruikers, zoals ook deze nieuwe techniek illustreert. Sterker nog, het lukt ze vaak ook bij bijvoorbeeld de cijfercode bij MFA te bemachtigen. Het voordeel van wachtwoordloos inloggen is dat het heel moeilijk is voor een aanvaller om bijvoorbeeld vingerafdrukken of irisscans te verkrijgen. Daarom is dat op dit moment de meest veilige manier om in te loggen.”
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee