[ad_1]
Há uma nova maneira de roubar suas senhas e outras informações vitais, e é tão bem feito que a maioria das pessoas cairia nessa.
Um hacker pseudônimo chamado “sr.d0xNa semana passada, publicou um submit no weblog detalhando um ataque muito bom de “navegador no navegador” no qual um invasor cria uma janela de login pop-up falsa em uma página da internet.
A “janela” não é realmente um pop-up, mas parte da página da Internet subjacente. No entanto, o mr.d0x o preparou para que você possa “pegar” a janela pop-up e movê-la clicando na barra de título com o cursor do mouse.
Isso é bastante convincente, mesmo que você não consiga redimensionar a janela falsa ou rolar por ela, e você definitivamente não seria capaz de arrastá-la além da borda da janela da página da Internet subjacente.
No entanto, a maioria das pessoas será enganada. O pop-up falso pode imitar perfeitamente uma página de login da Apple, Fb, Google ou Microsoft, até um ícone na barra de título e um URL na barra de endereço.
Como evitar ser enganado por uma janela pop-up falsa
Para evitar cair nesse novo ataque, sua melhor defesa é usar um dos melhores gerenciadores de senhas, que não será enganado por um website online falso.
Como mencionado acima, se você estiver usando um navegador de desktop, também poderá tentar redimensionar ou rolar a janela pop-up, embora seja possível que um bom JavaScript possa replicar essas ações.
Nesse caso, tente arrastar a janela pop-up até a borda da janela primary do navegador. Se o pop-up não responder corretamente, é falso. Mas isso pode ser difícil de fazer em um navegador móvel.
Pop-ups perfeitos
Ataques pop-up falsos já foram tentados antes, mas eles geralmente parecem terríveis – não tão mr.d0x’s. Esse novo ataque aproveita o fato de que muitos websites usam serviços de “logon único” (SSO), por meio dos quais você pode fazer login em um website online com um nome de usuário e senha de terceiros, em vez de ter que criar outra conta e senha.
Apple, Fb, Google, Microsoft e outros fornecem serviços de SSO para milhares de websites voltados para o consumidor. Muitas empresas e outras grandes organizações usam sistemas SSO internos para fazer login em websites e serviços relacionados a negócios.
O uso de logins SSO reduz bastante o número de páginas de login que você precisa falsificar. Também torna as senhas que você captura muito mais valiosas. Se você é um criminoso, pode fazer muito mais com a senha de alguém para o Fb do que com uma senha para o website online do Billy Bob’s Bar and Eating place Provide.
“Replicar todo o design da janela usando HTML/CSS básico é bastante simples”, escreveu mr.d0x na postagem do weblog da semana passada. “Mix o design da janela com um iframe apontando para o servidor malicioso que hospeda a página de phishing, e é basicamente indistinguível.”
Qualquer um pode fazer isso – incluindo os bandidos
Para isso, o mr.d0x criou modelos fáceis de usar que imitam as páginas de SSO no Google Chrome no Mac e no Home windows e no modo claro e escuro. Se você quiser tentar sua mão, os templates estão no GitHub.
Agora, por que, você pode perguntar, alguém faria armas tão potentes disponíveis gratuitamente? De acordo com a biografia on-line fornecida, o mr.d0x é um testador de penetração, alguém que é pago para testar os sistemas de segurança das empresas invadindo-os.
Esses modelos de “navegador no navegador” são tremendamente úteis para pen testers, mesmo que possam dar concepções aos administradores de websites.
Infelizmente para o resto de nós, o mr.d0x acabou de criar uma maneira muito eficaz de phishing das senhas da Apple, Fb, Google ou Microsoft de alguém. Tudo o que um bandido precisa fazer é usar o modelo e criar uma página de phishing, ambas fáceis de fazer, e atrair as pessoas com e-mails maliciosos, mensagens de texto ou postagens de mídia social.
[ad_2]