I přes všechny různé ochranné systémy by dnes každý uživatel využívající internet měl být ve střehu. V případě surfování a dvojnásob při klikání na odkazy či přesměrování na jiné webové stránky, je vhodné si nejprve zkontrolovat správnost URL adresy – tedy, zda např. místo na google.com se neobjevil na googlle.com.

„Pouze jedno jediné jiné písmenko může zadělat na velké problémy. Obě stránky mohou vypadat zcela stejně. Ovšem jen jedna je pravá. Ta druhá bude dost možná podvržená a má za cíl formou phishingu z uživatele vylákat osobní data,“ prozrazuje Martin Lohnert, specialista pro oblast kyberbezpečnosti ve společnosti Soitron.

Jakmile si je uživatel jistý, že je na správné adrese, potom by měl ještě zkontrolovat, zda se před adresou nachází ikona zámku (URL webu zobrazuje https, což znamená, že web je zabezpečen TLS/SSL šifrováním). Tím browser uživateli dává na vědomí, že komunikace s webem je zabezpečena. K těmto kontrolním krokům je od teď nutné přidat ještě jeden nový.

Nová technika phishingu zvaná browser-in-the-browser (BitB) útok, kterou popsal penetrační tester mr.d0x, využívá k simulaci vyskakovací okno internetového prohlížeče v prohlížeči. Zejména jde o okna pro jednotné přihlášení třetích stran (SSO).

V současné době není výjimkou, kdy uživatel k ověření své identity na nějaké webové stránce, službě či e-shopu, využije svůj již existující účet u Google, Microsoftu, Apple, Facebooku atd. Prostřednictvím vyskakovacího okna „Přihlásit se přes…“ nemusí stále dokola zakládat nové účty. Avšak zfalšováním tohoto okna, respektive legitimní domény, je možné připravit přesvědčivý phishingový útok.

Jak snadné je vytvořit identické okno

Zatímco výchozím chováním webové stránky při pokusu uživatele o přihlášení pomocí SSO metody k dokončení procesu ověřování je uvítání vyskakovacím oknem, útok BitB má za cíl replikovat celý tento proces pomocí kombinace HTML kódu a CSS stylu, a tak vytvořit zcela podvržené identické okno prohlížeče. „Zkombinovaný design okna s iframe prvkem, který ukazuje na škodlivý server hostující phishingovou stránku, je v podstatě k nerozeznání od toho pravého,“ uvádí mr.d0x.

Jen velmi málo uživatelů si všimne nepatrných rozdílů mezi těmito dvěma okny. Zdroj: mr.d0x

Ochrana před škodlivým vyskakovacím oknem

Jakmile uživatel vyplní přihlašovací údaje – nejčastěji jméno, nebo e-mail, případně telefonní číslo a zadá heslo – má zaděláno na problém, protože je nevědomky „vyzradí“. K jejich zneužití nemusí dojít okamžitě, ale informace jsou uloženy do databáze útočníka a ta spolu s jinými obratem nabídnuta k prodeji. Přihlašovací údaje tak zneužije až následný kupující.

„Ochranou proti tomuto typu útoku je kromě kontroly URL, tedy toho, zda se skutečně nacházíme na správném webu a zda je komunikace šifrována to, že okno pro jednotné přihlášení uchopíme a zkusíme posunout mimo aktuálně načtenou webovou stránku. Pokud se to podaří, je vše v pořádku. Pokud nikoliv, jde o JavaScriptové okno, které je podvrženo. Do něj přihlašovací údaje nikdy nevyplňujte,“ dodává závěrem Martin Lohnert.