סוג חדש של מתקפת Phishing.
חוקר האבטחה Aza Raskin מהבלוג: Azarask.in פרסום הבוקר סוג חדש של מתקפת Phishing. הרעיון פשוט
מאוד אך גאוני. הרעיון העומד מאחורי המתקפה הוא פשוט מאוד ומנצל את טכנולוגיות ה-"Tabbing" שבה (כמעט?)
כולנו משתמשים לשם הנוחות.
ברב, אם לא בכל דפדפני האינטרנט המרכזיים ניתן לגלוש במספר אתרים בו-זמנית דרך חלון אפליקציה אחד ע"י
שימוש בחוצץ (Tab) נפרד לכל עמוד, ואני מאמין שגם ברגעים אלה, העמוד בו אתם קוראים הוא חוצץ אחד מבין
לפחות חמישה חוצצים בדפדפן האינטרנט שלכם.
הרעיון שהציג ראסקין פועל באופן הבא:
אתם גולשים כרגע בעמוד ה-Gmail שלכם ובמקביל נכנסים לאתר הנשלט בידי התוקף, האתר הנשלט בידי התוקף
מציג תוכן לגיטימי כגון כתבה מעניינת בנושא מצב החסה בשטחים. העמוד הנ"ל מכיל קוד Javascript שמזהה את
האירוע: "window.onblur" - אירוע אשר מופעל בעת הורדת הפוקוס מחלון האתר. ברגע זה, קוד ה-Javascript
מבצע מספר פעולות:
- משנה את תמונת ה-Favicon (התמונה הקטנה שאתם רואים ליד שמו של האתר בראש החוצץ) לתמונת ה-Favicon של Gmail.
- כמובן גם את ה-TITLE של העמוד.
- משנה את תוכן העמוד לעמוד Phishing של Gmail.
ברגע שתרצו לגשת לחשבון ה-Gmail שלכם, תעברו על החוצצים שלכם בדפדפן ותחפשו את החוצץ השייך ל-Gmail.
כאן יש סיכוי של 50-50 אם תלחצו על החוצץ של ה-Gmail המקורי או על החוצץ אשר מציג לכם עמוד Phishing של
עמוד ההזדהות ל-Gmail. ולא צריך להמשיך לספר מה יקרה במידה והקורבן יבחר ב-50 אחוז הלא נכונים :)
לדעתי מדובר ברעיון מאוד מבריק, מפני שהסיכויים שבאמת תסתכלו על שורת ה-URL לאחר שלחצתם על החוצץ קטן
יחסית- מפני שרב האנשים מסתכלים על ה-URL ברגע שהם נכנסים לאתר, ולא לאחר מכן.
את ה-PoC של ראסקין אפשר למצוא ממש בעמוד שבו הוא פרסם את פרטי המתקפה:
(יש להיכנס לעמוד, לעבור לחוצץ אחר, לחכות 5 שניות ולחזור בחזרה לעמוד המאמר).
ואת קוד ה-Javascript המבצע את המהלך, ניתן להוריד מכאן:
אגב, את המתקפה ראסקין מכנה: "Tabnabbing".
סרטון המדגים את המתקפה ניתן לראות כאן:
A New Type of Phishing Attack from Aza Raskin on Vimeo.
ראסקין מציע שילוב של המתקפה הנ"ל עם המתקפה שהציג ג'רמאיה ב-2006 (בפוסט "I Know Where Youve Been")
של מציאת דפי האינטרנט שבהם המשתמש ביקר לאחרונה ע"י הצגתם ב-IFRAME בלתי נראה ובדיקת צבעם (המתקפה
מבוססת על כך שהדפדפנים מציגים בצבעים שונים את הלינקים בהם ביקרתם ובהם עוד לא ביקרתם). וכך ניתן לדעת
האם הקורבן משתמש ב-Gmail, משתמש ב-Yahoo או משתמש בעצם בכל אתר אחר שאליו ניתן להתחקות. את ה-PoC
אפשר למצוא כאן:
אכן שילוב קטלני.
תגובות על 'סוג חדש של מתקפת Phishing.':
#1 |
m1ch43l014 (אורח): אחלה סיקור :) נקווה שכולנו נהיה זהירים :P 25.05.2010 22:25:38 | |
#2 |
inHaze (אורח): רעיון יפה. מזל שיש את NoScript :) 25.05.2010 22:44:56 | |
#3 |
TheLeader (אורח): יש משהו יותר מגניב.. לעשות את זה על חלון אחר: https://forums.hacking.org.il/viewtopic.php?t=8643 25.05.2010 22:52:59 | |
#4 |
Azazel (אורח): גאוני ! :) 26.05.2010 08:58:41 | |
#5 |
cp77fk4r: יפה מאוד TheLeader- לדעתי מדובר באותה הגברת, שילוב של מספר אלמנטים כאלה בהחלט יכול להפיל גם משתמש ערני יחסית. יפהיפה! 26.05.2010 10:31:59 | |
#6 |
greenblast: אז בקיצור, צריך לבדוק כל פעם שאתה מכניס סיסמא את הURL. 26.05.2010 11:00:55 | |
#7 |
cp77fk4r: צודק. חשבתי על הדבר הבא: זה איזה פיצ'ר שאתה מוסיף לדפדפן. בהתחלה, הפיצ'ר נמצא במצב למידה: כל אתר שיש לך בו חשבון (מייל, בנק, רשת חברתית וכו') הוא מבקש ממך להצמיד אליו צלמית מסויימת ממבחר צלמיות קיים/ייבוא אישי של צלמית שלדעתך מתאימה לאותו חשבון (למשל- צלמית של כסף לחשבון בנק). הרעיון הוא, שמרגע שהצמדת צלמית לטופס הזדהות מסויים- הפיצ'ר יציג לך את אותה הצלמית במקום בולט ליד אותו הטופס. ככה, במידה והצלמית לא תופיע לך בטופס ההזדהות בפעם הבא שתרצה להתחבר לחשבון המייל שלך- אתה יודע לבטח שאתה נמצא תחת מתקפת פישינג. הפתרון יעיל מאוד ולא מסורבל מדי, לא? 26.05.2010 11:19:35 | |
#8 |
Sro (אורח): טוב מאוד, מהיום אדע להיזהר מדבר נוסף. 26.05.2010 15:31:32 | |
#9 |
The5elEm3nT (אורח): חח רעיון גאוני.. מענין אם היה אפשר לעשות אותו מושלם.. אם פתאום יופיע לי לשונית של ג'ימייל בלי שפתחתי אותו - יהיה מוזר, ואם יופיע לי לשונית של ג'ימייל כי ביקרתי בו אתמול ולא מחקתי היסטוריה - גם מוזר. בכ"מ רעיון גאוני! 27.05.2010 08:44:01 | |
#10 |
Sro (אורח): הקטע עם ה-GMAIL הוא קצת מורכב, כי המטרה היא להשיג שם וסיסמה, ואם כבר עשיתי לוגין ופתאום אני צריך שוב לעשות לוגין, זה ממש חשוד (קטע של פישינג קלאסי) 27.05.2010 17:00:32 | |
#11 |
אורח (אורח): Sro, ממש לא. חלק מהאנשים שמשתמשים ב-Gmail(אני מעריך כמה מיליונים לא?) לא בדיוק זוכרים אם עשו Login או לא. אתה משתמש ב 3\4\5 Tabs פתוחים, בחלקם התחברת לחשבונות שונים(gmail,facebook וכו'), אתה באמת מצפה מאנשים ליחס חשיבות לכך שהם עושים Login חוזר? חשוב להם לגשת לאינפורמציה יותר מאשר לחשוב 10 פעמים מה קרה?!(אלא אם כן אתה זן מיוחד, כמו האנשים פה:)) 27.05.2010 20:45:02 | |
#12 |
cp77fk4r: האורח צודק לחלוטין. Sro, לא פעם ולא פעמיים חשבתי לעצמי "למה לעזאזל מתקפות פישינג מצליחות כל כך?" - מי האדם שבאמת ישלח את פרטי האשראי שלו לכתובת מייל שהוא לא מכיר בגלל שאיזה ניגרי אחד טוען שהוא ירוויח מזה כמה אלפי ליש"ט? עד שראיתי איך בת-דודה שלי גולשת, אין מה לעשות. אם אתה מגיב פה בהודעות, סימן שאתה מתעניין באבטחת מידע ויש לך ראש, מה שאומר שאתה מודע למתקפות כאלה ורב הסיכויים שתדע לזהות אחת כזאת כשתותקף. אבל תכיר בעובדה שרב משתמשי האינטרנט לא מבין דבר וחצי דבר בנושאים האלה. 27.05.2010 21:28:27 | |
#13 |
anonymous (אורח): אתה מדבר על בת דודה שלך, אז המון אנשים שאני מכיר מגדירים שני עמודי בית, והשני שלהם תמיד אתר המייל. ויש המון אנשים כאלה, אז זה שפתאום נפתח GMAIL או כל אתר אימייל אחר לא ממש משונה להמון אנשים, ובכלל רוב האנשים שגולשים באינטרנט בדרך כלל פותחים מלא טאבים ומסתכלים על דברים שונים, בלי לקרוא על המתקפה הזאת 80 אחוז מהאנשים היו זורמים עם המתקפה, אין ספק שהוא העלאה את רף הפישינג. 19.06.2010 02:32:23 | |
#14 |
L3h0 (אורח): מבריק, מדהים, מעורר השראה. תודה. 08.12.2010 13:55:58 |
הוסף את תגובתך: