看哪,一个密码钓鱼网站,甚至可以欺骗精明的用户

就在您认为自己已经看到了所有网络钓鱼技巧时,BitB 出现了。

图片[1]-看哪,一个密码钓鱼网站,甚至可以欺骗精明的用户-零度博客

当我们教人们如何避免成为网络钓鱼网站的受害者时,我们通常建议仔细检查地址栏以确保它确实包含 HTTPS 并且 包含可疑域(如 google.evildomain.com)或替代字母(如 g00gle) .com。但是,如果有人找到了一种使用不包含这些迹象的恶意网站来钓鱼密码的方法呢?

一位研究人员设计了一种技术来做到这一点。他称其为 BitB,是“浏览器中的浏览器”的缩写。它使用真实浏览器窗口中的虚假浏览器窗口来欺骗 OAuth 页面。成千上万的网站使用OAuth 协议让访问者使用他们在 Google、Facebook 或 Apple 等公司的现有帐户登录。访问者不必在新站点上创建帐户,而是可以使用他们已有的帐户——剩下的一切由 OAuth 的魔力完成。

利用信任

例如,照片编辑网站 Canva 为访问者提供了使用三个常用帐户中的任何一个登录的选项。下图显示了用户单击“登录”按钮后看到的内容;之后,图像显示选择使用 Google 密码登录后出现的内容。用户选择 Google 后,一个具有合法地址的新浏览器窗口会在现有 Canva 窗口前面打开。

看哪,一个密码钓鱼网站,甚至可以欺骗精明的用户
看哪,一个密码钓鱼网站,甚至可以欺骗精明的用户

OAuth 协议确保只有 Google 接收用户密码。Canva 永远不会看到凭据。相反,OAuth 会安全地与 Google 建立登录会话,并且当用户名和密码签出时,Google 会向访问者提供一个令牌,该令牌可以访问 Canva。(当购物者选择 PayPal 等支付方式时,也会发生类似的情况。)

看哪,一个密码钓鱼网站,甚至可以欺骗精明的用户

BitB 技术利用了这个方案。BitB 没有打开连接到便于登录或付款的站点的真正的第二个浏览器窗口,而是使用一系列 HTML 和级联样式表 (CSS) 技巧来令人信服地欺骗第二个窗口。出现在那里的 URL 可以显示一个有效的地址,并带有一个挂锁和 HTTPS 前缀。窗口的布局和行为看起来与真实事物相同。

上周,一位使用 mr.d0x 句柄的研究人员描述了该技术。他的概念验证漏洞利用从一个网页开始,该网页显示了对 Canva 的精确欺骗。如果访问者选择使用 Apple、Google 或 Facebook 登录,伪造的 Canva 页面会打开一个新页面,其中嵌入了看起来很熟悉的 OAuth 页面。

看哪,一个密码钓鱼网站,甚至可以欺骗精明的用户

这个新页面也是一个恶搞。它包括人们在使用 Google 登录时希望看到的所有图形。该页面的地址栏中还显示了合法的 Google 地址。如果连接到真正的 Google OAuth 会话,新窗口的行为与浏览器窗口非常相似。

如果潜在的受害者打开虚假的 Canva.com 页面并尝试使用 Google 登录,“它将打开一个新的浏览器窗口并转到 [看起来是] URL accounts.google.com,”mr.d0x 在一篇文章中写道信息。实际上,伪造的 Canva 网站“并没有打开新的浏览器窗口。它使它看起来像打开了一个新的浏览器窗口,但它只是 HTML/CSS。现在那个假窗口将 URL 设置为 accounts.google.com,但这是一种错觉。”

恶意广告商:请不要阅读此内容

一位安全研究人员对该演示印象深刻,于是制作了一个YouTube 视频,更生动地展示了该技术的外观。它还解释了该技术的工作原理以及实施的容易程度。

浏览器中的浏览器 (BITB) 网络钓鱼技术 – 由 mr.d0x 创建

BitB 技术非常简单有效,令人惊讶的是它并不为人所知。在 mr.d0x 撰写了有关该技术的文章后,一小部分研究人员齐声表示,更有经验的 Web 用户很可能会中招。(mr.d0x 在此处提供了概念验证模板。)

“这种浏览器中的浏览器攻击非常适合网络钓鱼,”一位开发人员写道。“如果您涉及恶意广告,请不要阅读此内容。我们不想给你任何想法。”

“哦,这太糟糕了:浏览器中的浏览器 (BITB) 攻击,一种新的网络钓鱼技术,它允许窃取即使网络专业人士也无法检测到的凭据,”另一个人说。

该技术之前至少曾在野外积极使用过一次。正如安全公司 Zscaler在 2020 年报道的那样,诈骗者使用 BitB 攻击试图窃取视频游戏分发服务 Steam 的凭据。

看哪,一个密码钓鱼网站,甚至可以欺骗精明的用户

虽然该方法令人信服,但它有一些弱点,应该为精明的访问者提供一种万无一失的方法来检测是否有问题。真正的 OAuth 或支付窗口实际上是与主页不同的独立浏览器实例。这意味着用户可以调整它们的大小并将它们移动到显示器上的任何位置,包括主窗口之外。

相比之下,BitB 窗口根本不是一个单独的浏览器实例。相反,它们是由自定义 HTML 和 CSS 呈现并包含在主窗口中的图像。这意味着假页面无法调整大小、完全最大化或拖动到主窗口之外。

不幸的是,正如 mr.d0x 所指出的那样,这些检查可能很难教授,“因为现在我们远离了标准的’检查 URL’”建议。“你在教用户做他们从未做过的事情。”

所有用户都应使用双重身份验证来保护他们的帐户。更有经验的用户可以做的另一件事是右键单击弹出页面并选择“检查”。如果窗口是 BitB 生成的,它的 URL 将被硬编码到 HTML 中。

发现 BitB 技术得到更广泛的使用并不奇怪,但 mr.d0x 收到的反应表明许多安全防御者并不知道 BitB。这意味着很多最终用户也不是。

THE END
喜欢就支持一下吧
点赞2251 分享
Windows 电脑上必备的软件!这5款你一定要知道-零度博客

Windows 电脑上必备的软件!这5款你一定要知道

1.百度网盘不限速下载神器 【已失效】 AntDownload 是一款专门用于加速百度网盘资源的 Windows 下载工具,完全免费,绿色免安装,而且「不需要登录帐号」,也不必进行任何复杂的设置。 用户只...
admin的头像-零度博客admin
1.3W+6539
埃隆·马斯克 承诺在 Twitter 上揭露亨特·拜登的故事是一次失败,多人被打脸-零度博客

埃隆·马斯克 承诺在 Twitter 上揭露亨特·拜登的故事是一次失败,多人被打脸

言论自由斗士埃隆·马斯克 (Elon Musk) 对 Twitter多年来决定在 2020 年总统大选前夕压制有关亨特·拜登 (Hunter Biden) 笔记本电脑的新闻报道感到不满。因此,为了“恢复公众对 Twitter 的信任...
admin的头像-零度博客admin
1.6W+1091
重大更新!Windows 11 正式发布“Moment 4” !新增多种实用功能,Copilot正式内置系统中,附免费升级教程 | 零度解说-零度博客

重大更新!Windows 11 正式发布“Moment 4” !新增多种实用功能,Copilot正式内置系统中,附免费升级教程 | 零度解说

https://youtu.be/vX51savENcs ================== Windows 11 最新版安装助手:点击【官方下载】 【繁体中文版】 【英文版】
以4K/8K分辨率:录制高清电脑屏幕+语音转字幕功能!-零度博客

以4K/8K分辨率:录制高清电脑屏幕+语音转字幕功能!

1.OBS录屏官网:【点击下载】 2.剪映视频剪辑:【点击下载】 3.剪映字幕一键导出工具:【点击下载】 4.AegiSub 字幕编辑器:【点击下载】    
admin的头像-零度博客admin
2.5W+2179
Windows 11 正式版发布时间已定! 老旧电脑也可升级,但是要注意几个问题 | 零度解说-零度博客
【限免】Auto Mouse Clicker 鼠标自动点击器-零度博客

【限免】Auto Mouse Clicker 鼠标自动点击器

Vovsoft Auto Mouse Clicker是一款简单易用的桌面点击软件,可以自动执行鼠标点击操作。借助这款程序,您可以自动化工作流程,提高工作效率,并节省时间,无需手动执行繁琐的任务。该程序可以模...
admin的头像-零度博客admin
2.3W+1698
Windows 11系统下找回 IE浏览器的代码-零度博客

Windows 11系统下找回 IE浏览器的代码

在文档下输入以下代码: CreateObject('InternetExplorer.Application').Visible=true   最后保存为VBS,运行即可调出IE浏览器!   详细的设置教程:https://www.freedidi.com/3540.h...
admin的头像-零度博客admin
1.6W+2251
检测应用程序、插件、源码是否存在后门!这几款工具你最好要知道-零度博客

检测应用程序、插件、源码是否存在后门!这几款工具你最好要知道

  1.Sandboxie 免费开源且非常强大的后门检测工具,它是一款基于沙盒的隔离软件,适用于基于 Windows NT 的 32 位和 64 位操作系统。自开源以来,它一直由 David Xanatos 开发,在此之前它...
admin的头像-零度博客admin
1.7W+2250
微软终于放弃 Windows 11 强制升级! Windows 10 用户可以放心了-零度博客

微软终于放弃 Windows 11 强制升级! Windows 10 用户可以放心了

8 月 15 日消息,微软终于屈服于用户压力,暂时停止了对 Windows 10 用户的 Windows 11 升级骚扰。因为此前大量用户反映,无论电脑是否符合 Windows 11 的硬件要求,都会频繁弹出升级提醒,...
admin的头像-零度博客admin
2.1W+2176