Kemananan jaringan: Hati-hati, Pop-Up Kata Sandi Itu Bisa Palsu – Sebagian besar situs web saat ini menawarkan beberapa opsi untuk membuat akun. Anda dapat mendaftar dengan situs web, atau menggunakan mekanisme masuk tunggal (SSO) untuk masuk ke situs web menggunakan akun Anda yang ada dengan perusahaan terkemuka seperti Google, Facebook, atau Apple.
portknocking – Seorang peneliti keamanan siber telah memanfaatkan ini dan merancang mekanisme baru untuk mencuri kredensial login Anda dengan membuat jendela login SSO palsu yang hampir tidak terdeteksi.
“Meningkatnya popularitas SSO memberikan banyak manfaat bagi [orang],” Scott Higgins , Direktur Teknik di Dispersive Holdings, Inc mengatakan kepada Lifewire melalui email. “Namun, peretas pintar sekarang memanfaatkan rute ini dengan cara yang cerdik.”
Login Palsu
Secara tradisional, penyerang telah menggunakan taktik seperti serangan homograf yang mengganti beberapa huruf di URL asli dengan karakter yang mirip untuk membuat URL jahat baru yang sulit dikenali dan halaman login palsu.
Namun, strategi ini sering kali gagal jika orang-orang meneliti URL dengan cermat. Industri keamanan siber telah lama menyarankan orang untuk memeriksa bilah URL untuk memastikannya mencantumkan alamat yang benar, dan memiliki gembok hijau di sebelahnya, yang menandakan bahwa laman web tersebut aman.
“Semua ini akhirnya membuat saya berpikir, apakah mungkin membuat saran ‘Periksa URL’ menjadi kurang dapat diandalkan? Setelah seminggu melakukan brainstorming, saya memutuskan bahwa jawabannya adalah ya,” tulis peneliti anonim yang menggunakan nama samaran, mr. d0x .
Serangan yang dibuat mr.d0x, bernama browser-in-the-browser (BitB), menggunakan tiga blok bangunan penting dari web—HTML, cascading style sheets (CSS), dan JavaScript—untuk membuat jendela pop-up SSO palsu yang pada dasarnya tidak dapat dibedakan dari hal yang nyata.
“Bilah URL palsu dapat berisi apa pun yang diinginkannya, bahkan lokasi yang tampaknya valid. Selanjutnya, modifikasi JavaScript membuatnya sehingga mengarahkan kursor ke tautan, atau tombol masuk, akan memunculkan tujuan URL yang tampaknya valid juga,” tambah Higgins setelah memeriksa mr. mekanisme d0x.
Untuk mendemonstrasikan BitB, mr.d0x membuat versi palsu dari platform desain grafis online, Canva. Ketika seseorang mengeklik untuk masuk ke situs palsu menggunakan opsi SSO, situs web akan memunculkan jendela masuk buatan BitB dengan alamat sah penyedia SSO palsu, seperti Google, untuk mengelabui pengunjung agar memasukkan kredensial masuk mereka, yaitu kemudian dikirim ke penyerang.
Teknik ini telah mengesankan beberapa pengembang web. “Ooh itu jahat: Browser In The Browser (BITB) Attack, teknik phishing baru yang memungkinkan mencuri kredensial yang bahkan tidak dapat dideteksi oleh profesional web,” François Zaninotto , CEO perusahaan pengembangan web dan seluler Marmelab , menulis di Twitter.
Lihat Kemana Anda Pergi
Sementara BitB lebih meyakinkan daripada jendela login palsu biasa, Higgins membagikan beberapa tip yang dapat digunakan orang untuk melindungi diri mereka sendiri.
Sebagai permulaan, meskipun jendela pop-up BitB SSO tampak seperti pop-up yang sah, sebenarnya tidak. Oleh karena itu, jika Anda mengambil bilah alamat pop-up ini dan mencoba menyeretnya, itu tidak akan bergerak melampaui tepi jendela situs web utama, tidak seperti jendela pop-up asli yang sepenuhnya independen dan dapat dipindahkan ke mana saja. bagian dari desktop.
Baca Juga : Memahami Jaringan dan Keamanan Jaringan Pada Komputer
Higgins berbagi bahwa menguji keabsahan jendela SSO menggunakan metode ini tidak akan berfungsi di perangkat seluler. “Di sinilah [otentikasi multi-faktor] atau penggunaan opsi otentikasi tanpa kata sandi benar-benar dapat membantu. Bahkan jika Anda menjadi mangsa serangan BitB, [para scammer] tidak serta merta dapat [menggunakan kredensial Anda yang dicuri] tanpa bagian lain dari rutinitas masuk MFA,” saran Higgins.
Juga, karena ini adalah jendela masuk palsu, pengelola kata sandi (jika Anda menggunakannya) tidak akan secara otomatis mengisi kredensial, sekali lagi memberi Anda jeda untuk menemukan sesuatu yang salah.
Penting juga untuk diingat bahwa meskipun pop-up BitB SSO sulit dikenali, pop-up itu tetap harus diluncurkan dari situs jahat. Untuk melihat pop-up seperti ini, Anda pasti sudah berada di situs web palsu.
Inilah sebabnya, datang lingkaran penuh, Adrien Gendre , Chief Tech and Product Officer di Vade Secure , menyarankan orang harus melihat URL setiap kali mereka mengklik tautan.
“Dengan cara yang sama kami memeriksa nomor di pintu untuk memastikan kami berakhir di kamar hotel yang tepat, orang harus selalu melihat URL dengan cepat saat menjelajahi situs web. Internet bukan rumah kami. Ini adalah ruang publik Kita harus mengecek apa yang kita kunjungi,” tegas Gendre.