Một công cụ lừa đảo có sẵn cho phép bất kỳ ai tạo ra các biểu mẫu đăng nhập lừa đảo trực tuyến bằng cách sử dụng cửa sổ trình duyệt Chrome giả mạo.
Khi đăng nhập vào các trang web, chúng ta thường thấy tùy chọn đăng nhập với Google, Microsoft, Apple, Twitter hoặc Steam.
Ví dụ: biểu mẫu đăng nhập DropBox cho phép bạn đăng nhập bằng tài khoản Apple hoặc Google như hình dưới.
Khi nhấp vào nút Đăng nhập trong Google hoặc ứng dụng, cửa sổ trình duyệt đăng nhập một lần (SSO) sẽ được hiển thị, yêu cầu bạn nhập thông tin đăng nhập của mình để đăng nhập tài khoản.
Các cửa sổ này chỉ hiển thị biểu mẫu đăng nhập và một thanh địa chỉ hiển thị URL của biểu mẫu đăng nhập.
Thanh địa chỉ này bị vô hiệu hóa trong các cửa sổ SSO, nhưng vẫn có thể sử dụng URL được hiển thị để xác minh một tên miền google.com hợp pháp đang được sử dụng để đăng nhập vào trang web.
Trước đây, các tác nhân đe dọa đã cố gắng giả mạo các cửa sổ SSO này bằng HTML, CSS và JavaScript, nhưng thường có điểm khác biệt và đáng ngờ so với cửa sổ đăng nhập hợp lệ.
Tấn công trình duyệt trong trình duyệt
"Cuộc tấn công trình duyệt trong trình duyệt (BitB)" mới sử dụng các mẫu (template) tạo sẵn để tạo các cửa sổ popup giả mạo giống thật có chứa URL và tiêu đề địa chỉ tùy chỉnh.
Về cơ bản, cuộc tấn công này tạo ra các cửa sổ trình duyệt giả mạo bên trong các cửa sổ trình duyệt thực (BitB) để thực hiện các cuộc tấn công lừa đảo.
Các templates này được nhà nghiên cứu bảo mật mr.d0x tạo ra và chia sẻ công khai trên GitHub. Nó bao gồm các template dành cho Google Chrome trên Windows và Mac.
mr.d0x cho biết các mẫu này cho tạo cửa sổ Chrome để hiển thị các biểu mẫu (form) đăng nhập SSO cho bất kỳ nền tảng trực tuyến nào. Bạn chỉ cần tải xuống các template, chỉnh sửa chúng để chứa URL và tiêu đề mong muốn, sau đó sử dụng iframe để hiển thị biểu mẫu đăng nhập.
Kuba Gretzky, người tạo ra công cụ lừa đảo Evilginx, đã thử nghiệm và cho biết nó hoạt động hoàn hảo với nền tảng Evilginx, điều này cho thấy nó có thể được điều chỉnh để lấy cắp khóa 2FA (xác thực 2 yếu tố) trong các cuộc tấn công lừa đảo.
Đây không phải là một chiêu trò lừa đảo mới. Zscaler đã báo cáo về việc bị các trang web trò chơi giả mạo sử dụng chiêu trò tương tự vào năm 2020 để đánh cắp thông tin đăng nhập Steam.
Những người làm công tác đào tạo an toàn thông tin có thể sử dụng các template này để tạo ra các biểu mẫu đăng nhập lừa đảo nhằm kiểm tra và nâng cao khả năng bảo vệ của khách hàng hoặc nhân viên của chính công ty họ.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Môi trường CNTT thay đổi liên tục đòi hỏi các nhà phân tích CSIR phải cập nhật các kỹ năng, thường xuyên luyện tập và hiểu rõ về cấu trúc liên kết của tất cả các hệ thống...
Tín nhiệm mạng | Một nhóm tấn công đã triển khai một rootkit mới nhằm vào các hệ thống Oracle Solaris với mục tiêu xâm phạm Máy rút tiền tự động (ATM) và thực hiện rút tiền trái phép tại các ngân hàng
Tín nhiệm mạng | Một mạng botnet mới có tên là Cyclops Blink đang nhắm mục tiêu đến các bộ định tuyến của ASUS để thu thập và lấy cắp dữ liệu trên các thiết bị.
Tín nhiệm mạng | Những người bảo trì OpenSSL đã phát hành các bản vá để khắc phục một lỗ hổng bảo mật mức cao trong thư viện phần mềm của họ có thể gây ra từ chối dịch vụ (DoS).
Tín nhiệm mạng | Ủy ban bảo vệ dữ liệu Ireland đã phạt Meta 17 triệu euro vì một loạt vi phạm bảo mật theo luật GDPR của Liên minh châu Âu trong khu vực.
Tín nhiệm mạng | Vào thứ Hai, một số trang web của chính phủ Israel đã bị gián đoạn hoạt động do một cuộc tấn công từ chối dịch vụ (DDoS).