如今不论订阅游戏、影音流媒体服务、网络新闻或网络购物,都可简便快速通过各种单一登录(SSO)验证机制(如用Google账号登录)享受各种线上服务。但这看似安全的简便验证机制也不再安全,因已成为网络钓鱼攻击者发动新型“浏览器的浏览器”(Browser-in-the-Browser,BitB)攻击最佳切入点。
最近网络出现BitB攻击这全新网络钓鱼技术,钓鱼攻击黑客可用浏览器构建假浏览器窗口,以便伪造合法域名,发动即使精明网友也难区分发现的钓鱼攻击。某渗透测试暨安全研究人员推文(账号“mrd0x”)指出,攻击手法充分运用时下网站普遍热门内置的第三方SSO身份验证选项(如常见的用Google、Facebook或Apple ID登录)发动钓鱼攻击。
一般而言,用户尝试通过第三方SSO验证机制登录时,画面会跳出要求用户完成身份验证程序的窗口。BitB攻击者会复制伪造整个验证程序,方法是通过混合HTML及CSS的程序代码创建完全伪造的浏览器窗口。不仅如此,窗口设计还会集成恶意iframe框架,基本上指向控制钓鱼页面的恶意服务器。接着攻击者只需通过JavaScript,便能轻松让假窗口出现在连接或加载页面。
黑客曾通过BitB手法伪造《CS反恐精英:全球攻势》网站
这“全新”钓鱼攻击手法早在2020年2月就高调现身,当时攻击者通过BitB手法打造假《反恐精英:全球攻势》(Counter-Strike: Global Offensive,CS: GO)网站,以窃取电子游戏数字发行服务Steam凭证。对用户来说,这假网站看起来一切正常,因域名Steamcommunity“.”com合法,且还使用安全HTTPS。但当用户尝试从目前窗口拖拉这提示窗口时,会消失于边缘以外。这一点也不意外,因本就不是合法弹出式窗口,而是目前窗口以HTML伪造的窗口。
尽管BitB手法让黑客更轻易展开各种有效社交工程攻击,但黑客还是要确保受害者必须成功重定向到会显示假冒身份验证窗口的钓鱼域名才行,否则无法取得想要的用户凭证。一旦用户成功导向攻击者拥有的网站时,即使再精明的用户也无法看出网站“有鬼”,并在认定合法网站后,便完全放心在恶意网站输入凭证。
此BitB非彼BitB,网络钓鱼或DDoS各有所爱
除此之外,早在2011年12月趋势科技“安全趋势博客”〈HTML5所带来丑恶的一面3-3〉一文便曾介绍另一种缩写名称一样叫BitB的僵尸网络攻击手法,但全名是“浏览器僵尸网络”(Botnets in The Browser),这是基于恶意浏览器扩展功能/插件组件(extension)僵尸网络框架。所以动手脚的地方全然不同,前述BitB专攻SSO验证机制,这BitB锁定浏览器扩展功能组件。发动形态也不太一样,虽然黑客也会利用这种手法发动网络钓鱼攻击,但仍以DDoS分布式拒绝服务攻击为大宗。
(首图来源:pixabay)