मुख्य तथ्य
- एक सुरक्षा शोधकर्ता ने बहुत ही भरोसेमंद लेकिन नकली सिंगल साइन-ऑन लॉगिन पॉप-अप बनाने का एक तरीका तैयार किया है।
- फर्जी पॉप-अप वास्तविक दिखने के लिए वैध URL का उपयोग करते हैं।
- यह ट्रिक दर्शाती है कि अकेले पासवर्ड का उपयोग करने वाले लोगों के क्रेडेंशियल जल्द या बाद में चोरी हो जाएंगे, विशेषज्ञों को चेतावनी दें।
वेब पर नेविगेट करना हर दिन कठिन होता जा रहा है।
आजकल अधिकांश वेबसाइटें खाता बनाने के लिए कई विकल्प प्रदान करती हैं।आप या तो वेबसाइट के साथ पंजीकरण कर सकते हैं, या Google, Facebook, या Apple जैसी प्रतिष्ठित कंपनियों के साथ अपने मौजूदा खातों का उपयोग करके वेबसाइट में लॉग इन करने के लिए एकल साइन-ऑन (SSO) तंत्र का उपयोग कर सकते हैं। एक साइबर सुरक्षा शोधकर्ता ने इसका फायदा उठाया है और एक वस्तुतः ज्ञानी नकली एसएसओ लॉगिन विंडो बनाकर आपके लॉगिन क्रेडेंशियल्स को चुराने के लिए एक नया तंत्र तैयार किया है।
"एसएसओ की बढ़ती लोकप्रियता [लोगों] को बहुत सारे लाभ प्रदान करती है," डिस्पर्सिव होल्डिंग्स, इंक में इंजीनियरिंग के निदेशक स्कॉट हिगिंस ने ईमेल पर लाइफवायर को बताया। "हालांकि, चतुर हैकर अब इस मार्ग का एक सरल तरीके से लाभ उठा रहे हैं।"
फर्जी लॉगिन
परंपरागत रूप से, हमलावरों ने होमोग्राफ हमलों जैसे हथकंडे अपनाए हैं जो मूल URL के कुछ अक्षरों को समान-दिखने वाले वर्णों से बदल कर नए, हार्ड-टू-स्पॉट दुर्भावनापूर्ण URL और नकली लॉगिन पृष्ठ बनाते हैं।
हालांकि, अगर लोग यूआरएल की सावधानीपूर्वक जांच करते हैं तो यह रणनीति अक्सर विफल हो जाती है। साइबर सुरक्षा उद्योग ने लंबे समय से लोगों को यूआरएल बार की जांच करने की सलाह दी है ताकि यह सुनिश्चित हो सके कि यह सही पता सूचीबद्ध करता है, और इसके बगल में एक हरे रंग का पैडलॉक है, जो संकेत देता है कि वेबपेज सुरक्षित है।
"इस सब ने अंततः मुझे सोचने पर मजबूर कर दिया, क्या 'यूआरएल की जांच करें' सलाह को कम विश्वसनीय बनाना संभव है? एक सप्ताह के विचार-मंथन के बाद मैंने फैसला किया कि इसका उत्तर हां है," का उपयोग करने वाले अज्ञात शोधकर्ता ने लिखा छद्म नाम, mr.d0x।
ब्राउज़र-इन-द-ब्राउज़र (BitB) नाम से बनाया गया हमला mr.d0x, वेब-एचटीएमएल, कैस्केडिंग स्टाइल शीट्स (सीएसएस), और जावास्क्रिप्ट के तीन आवश्यक बिल्डिंग ब्लॉक्स का उपयोग करता है-एक नकली को तैयार करने के लिए SSO पॉप-अप विंडो जो असल चीज़ से अनिवार्य रूप से अलग नहीं है।
"नकली यूआरएल बार में कुछ भी हो सकता है, यहां तक कि प्रतीत होता है कि वैध स्थान भी। इसके अलावा, जावास्क्रिप्ट संशोधन इसे बनाते हैं ताकि लिंक पर होवर हो, या लॉगिन बटन एक प्रतीत होता है वैध यूआरएल गंतव्य भी पॉप अप करेगा, " जोड़ा गया हिगिंस श्री की जांच के बाद। d0x का तंत्र।
बिटबी को प्रदर्शित करने के लिए, mr.d0x ने ऑनलाइन ग्राफिक डिजाइन प्लेटफॉर्म, कैनवा का एक नकली संस्करण बनाया। जब कोई व्यक्ति SSO विकल्प का उपयोग करके नकली साइट पर लॉग इन करने के लिए क्लिक करता है, तो वेबसाइट विज़िटर को उनके लॉगिन क्रेडेंशियल दर्ज करने के लिए धोखा देने के लिए Google जैसे नकली SSO प्रदाता के वैध पते के साथ BitB तैयार की गई लॉगिन विंडो को पॉप अप करती है, जो कि फिर हमलावरों को भेज दिया।
तकनीक ने कई वेब डेवलपर्स को प्रभावित किया है। "ओह दैट नॉटी: ब्राउजर इन द ब्राउजर (बीआईटीबी) अटैक, एक नई फ़िशिंग तकनीक जो ऐसे क्रेडेंशियल्स को चुराने की अनुमति देती है जिसे एक वेब पेशेवर भी नहीं पहचान सकता है," वेब और मोबाइल डेवलपमेंट कंपनी मार्मेलैब के सीईओ फ्रांकोइस जेनिनोटो ने ट्विटर पर लिखा।
देखो तुम कहाँ जा रहे हो
जबकि बिटबी रन-ऑफ-द-मिल नकली लॉगिन विंडो की तुलना में अधिक विश्वसनीय है, हिगिंस ने कुछ सुझाव साझा किए जिनका उपयोग लोग अपनी सुरक्षा के लिए कर सकते हैं।
शुरू करने वालों के लिए, बिटबी एसएसओ पॉप-अप विंडो एक वैध पॉप-अप की तरह दिखने के बावजूद, वास्तव में ऐसा नहीं है। इसलिए, यदि आप इस पॉप-अप के एड्रेस बार को पकड़ते हैं और इसे खींचने का प्रयास करते हैं, तो यह वास्तविक पॉप-अप विंडो के विपरीत, मुख्य वेबसाइट की विंडो के किनारे से आगे नहीं बढ़ेगा, जो पूरी तरह से स्वतंत्र है और इसे किसी भी स्थान पर ले जाया जा सकता है। डेस्कटॉप का हिस्सा।
हिगिंस ने साझा किया कि इस पद्धति का उपयोग करके SSO विंडो की वैधता का परीक्षण मोबाइल डिवाइस पर काम नहीं करेगा।"यह वह जगह है जहां [बहु-कारक प्रमाणीकरण] या पासवर्ड रहित प्रमाणीकरण विकल्पों का उपयोग वास्तव में सहायक हो सकता है। भले ही आप बिटबी हमले के शिकार हो गए हों, [स्कैमर्स] जरूरी नहीं कि [आपके चोरी किए गए प्रमाण-पत्रों का उपयोग करें] बिना एमएफए लॉगिन रूटीन के अन्य भाग, " हिगिंस ने सुझाव दिया।
इंटरनेट हमारा घर नहीं है। यह एक सार्वजनिक स्थान है। हमें देखना चाहिए कि हम क्या देखने जा रहे हैं।
इसके अलावा, चूंकि यह एक नकली लॉगिन विंडो है, पासवर्ड मैनेजर (यदि आप एक का उपयोग कर रहे हैं) स्वचालित रूप से क्रेडेंशियल नहीं भरेगा, फिर से आपको कुछ गलत करने के लिए विराम देगा।
यह याद रखना भी महत्वपूर्ण है कि हालांकि बिटबी एसएसओ पॉप-अप का पता लगाना मुश्किल है, फिर भी इसे किसी दुर्भावनापूर्ण साइट से लॉन्च किया जाना चाहिए। इस तरह का पॉप-अप देखने के लिए, आपको पहले से ही एक नकली वेबसाइट पर होना होगा।
यही कारण है कि, वेड सिक्योर के चीफ टेक और प्रोडक्ट ऑफिसर, एड्रियन गेंड्रे, पूरे सर्कल में आते हुए, सुझाव देते हैं कि लोगों को हर बार लिंक पर क्लिक करने पर यूआरएल देखना चाहिए।
"जिस तरह हम यह सुनिश्चित करने के लिए दरवाजे पर नंबर की जांच करते हैं कि हम सही होटल के कमरे में पहुंचें, लोगों को हमेशा एक वेबसाइट ब्राउज़ करते समय URL पर एक त्वरित नज़र रखनी चाहिए। इंटरनेट हमारा घर नहीं है। यह एक सार्वजनिक स्थान है। हमें यह देखना चाहिए कि हम क्या देख रहे हैं," जेंडर पर जोर दिया।
