אחת הדרכים הנפוצות ביותר שבהן פושעי סייבר מנסים לגנוב את הנתונים והמידע האישי שלך היא באמצעות דיוג.

אבל התרגלנו להתחזות, ובדרך כלל יודעים ממה להיזהר. כאן נכנסת לתמונה התקפת דפדפן בדפדפן. אז מהי התקפת דפדפן בדפדפן? ואיך אתה יכול להתגונן מפני זה?

מהי התקפת דפדפן בדפדפן?

מתקפת דפדפן בדפדפן (BiTB) מדמה חלון כניסה עם דומיין מזויף בתוך חלון דפדפן אב כדי לגנוב אישורים. טכניקת פישינג זו מנצלת בעיקר את מודל האימות של כניסה יחידה כדי להערים על המשתמש להשתעל מידע רגיש, בעיקר את פרטי הכניסה שלו.

מהו אימות כניסה יחידה?בקשת הרשמה ל-SSO

כאשר אתה נרשם לשירות חדש או לאתר חדש, לפעמים, יש אפשרות להירשם על ידי חיבור שלך חשבון עם גוגל, אפל ושירותי צד שלישי אחרים במקום להירשם ידנית עם כתובת דוא"ל ו סיסמה.

זה נעשה באמצעות מערכת האימות של כניסה יחידה. השילוב של פונקציונליות כניסה יחידה, או SSO, הוא כמעט בכל מקום באפליקציות אינטרנט, ומסיבה טובה.

SSO מאפשר אימות ויצירת חשבון מהירים יותר על ידי שימוש בקבוצה יחידה של אישורים עבור כל השירותים והאתרים. אינך צריך להחזיק קבוצות נפרדות של דואר אלקטרוני וסיסמאות עבור כל אתר שאתה צריך להיכנס אליו.

instagram viewer

תהליך הכניסה הוא פשוט. כל מה שאתה צריך לעשות הוא לבחור את שירות הצד השלישי שאיתו תרצה להתחבר וללחוץ על הירשם לַחְצָן. יופיע חלון דפדפן חדש שבו תתחבר עם האישורים שלך עבור שירות צד שלישי זה; למשל, גוגל. לאחר שהכניסה הצליחה, והאישורים מאומתים, החשבון החדש שלך באתר נוצר.

חלון אימות של כניסה יחידה מזויפת

כאשר משתמשים נרשמים לאתר שנפגע, הם מקבלים חלון קופץ מזויף המחקה את המראה והתחושה של חלון אימות SSO אמיתי. מערכת האימות SSO קיימת מספיק זמן כדי שמשתמש ממוצע התרגל אליה, מה שמבטל את החשדות.

יתר על כן, שם הדומיין, הממשק, ו מחוון תעודת SSL ניתן לזייף עם כמה שורות של HTML ו-CSS כדי לחקות חלון בקשת כניסה אמיתית.

הקורבן מקלידים את האישורים שלהם בלי להניד עין, וברגע שהם פוגעים להיכנס במקלדת שלהם, הם מוסרים את החיים הווירטואליים שלהם וכל מה שקשור אליהם.

כיצד מוגדרת התקפת דפדפן בדפדפן

מכיוון שטכניקת דיוג זו סובבת סביב אימות SSO, הדבר הראשון שפושע הסייבר צריך לעשות הוא להגדיר אימות SSO מזויף באתר, ואז לגרום למטרה לנחות על הזדוני אֲתַר. היעד נרשם עם ה-SSO המזוייף והאישורים שלהם מאוחסנים במסד הנתונים של התוקף.

אמנם, בתיאוריה, התהליך עשוי להיראות מסובך, אבל במציאות, כל השלבים הללו יכולים להיות אוטומטיים בקלות באמצעות מסגרת דיוג ותבניות דפי אינטרנט. חוקרי אבטחה כבר עשו זאת תבניות שפורסמו שמשכפלים את דפי ההתחברות של גוגל, פייסבוק ואפל, המפתח להתקפת BiTB.

כיצד להגן על עצמך מפני התקפות דפדפן בדפדפן

סימן מובהק לאתר מזויף או זדוני או חלון קופץ הוא כתובת האתר שלו. בדוק בזהירות את כתובת האתר של אתר אינטרנט לפני שתזין בו משהו רגיש. לא פעם, פג תוקף או חסר תעודת SSL (מסומן על ידי סימן מנעול חתוך) או כתובת אתר מוצלת אמורים להוות ראיה מספקת כדי להרחיק כל משתמש מהאתר. ובכל זאת, פושעי סייבר נעשים חכמים יותר וטובים יותר בטיוח כל דבר שיכול לעורר חשד.

בעוד שבדיקת כתובת ה-URL ואישור ה-SSL עוזרת לאמת את האותנטיות של אתר, ממש קשה לזהות התקפות BiTB רק מ-URL שלהן מכיוון שהן מוסוות היטב. אז, אתה תמיד צריך ללכת את המייל הנוסף לבדוק אם האתר מאובטח כי הביטחון שלך הוא תמיד מעל לכל.

הנה כמה דברים שאתה צריך לבדוק כדי להגן על עצמך מפני התקפות דפדפן בדפדפן:

  • בדוק אם חלון הכניסה המוקפץ נמצא בארגז חול בתוך הדפדפן. חלון כניסה מזויף אינו למעשה חלון דפדפן אמיתי; אלא זו סימולציה הבנויה עם HTML ו-CSS, כך שברגע שאתה מוציא אותה משטח המסך של הדפדפן, הנתונים אמורים להיעלם. אם אינך יכול לגרור את חלון הכניסה אל מחוץ לחלון הדפדפן הראשי, זו גם מתנה שאתה נמצא באתר זדוני.
  • השתמש במנהלי סיסמאות. מכיוון שחלון ההתחזות אינו חלון דפדפן אמיתי, הוא לא יזוהה על ידי אף מנהל סיסמאות עם השלמה אוטומטית מופעלת. זה מרמז על נוכחות של כוונות זדוניות בסיסיות ועוזר לך להבחין בין פופ-אפ מזויף לאמיתי. אתה בהחלט צריך לבדוק את מנהלי הסיסמאות הטובים ביותר עבור המכשירים שלך.
  • ככלל אצבע, אל תלחץ על שום קישור שהועבר אליך. והימנע מהקלדת אישורים באתרים מפוקפקים. זהו כלל הבסיס להגן על עצמך לא רק מפני התקפת פישינג ספציפית אלא מכל מיני התקפות וטכניקות. היזהר במי אתה סומך.
  • להשתמש הרחבות דפדפן ממוקדות אבטחה. אלה אמורים להתריע כאשר יש איום קרוב. לדוגמה, כדי לזהות הטמעות iframe זדוניות, אתה יכול להתקין הרחבה שמזהה ומגן עליך מפני התקפות BiTB פוטנציאליות.

גלישה באינטרנט בצורה בטוחה

האינטרנט יכול להיות מקום מפחיד. בעוד שפשיעת סייבר היא דילמה בלתי נגמרת, אתה לא צריך להפחיד ממנה אם אתה מגדיר את אמצעי האבטחה הנכונים, אתה מבין אותך ופעל לפי כל השיטות המומלצות הכלליות. חשוב תמיד להישאר ערניים; לדעת את ההונאות העדכניות ביותר ואת טכניקות הפריצה לפחות אומר שאתה מקדים את המשחק.