ቁልፍ መውሰጃዎች
- የደህንነት ተመራማሪ በጣም አሳማኝ ግን የውሸት ነጠላ መግቢያ ብቅ-ባዮችን የሚፈጥርበትን መንገድ ቀየሰ።
- ሐሰተኛ ብቅ-ባዮች የበለጠ እውነተኛ ለመታየት ህጋዊ ዩአርኤሎችን ይጠቀማሉ።
- ብልሃቱ የሚያሳየው የይለፍ ቃሎችን ብቻ የሚጠቀሙ ሰዎች ይዋል ይደር እንጂ ምስክርነታቸው እንደሚሰረቅ ባለሙያዎች አስጠንቅቁ።
ድሩን ማሰስ በየቀኑ አስቸጋሪ እየሆነ ነው።
በአሁኑ ጊዜ አብዛኛዎቹ ድር ጣቢያዎች መለያ ለመፍጠር ብዙ አማራጮችን ይሰጣሉ።እንደ ጎግል፣ ፌስቡክ ወይም አፕል ካሉ ታዋቂ ኩባንያዎች ጋር ያሉህን መለያዎች በመጠቀም ወደ ድህረ ገጹ ለመግባት ወይ በድህረ ገጹ መመዝገብ ወይም ነጠላ መግቢያ (SSO) መጠቀም ትችላለህ። አንድ የሳይበር ደህንነት ተመራማሪ በዚህ ላይ ትልቅ ስራ ሰርቶ የመግባት ምስክርነቶችን ለመስረቅ አዲስ ዘዴ ፈለሰፈ።
"እያደገ ያለው የኤስኤስኦ ተወዳጅነት ለ[ሰዎች] ብዙ ጥቅሞችን ይሰጣል ሲሉ የዲስፐርሲቭ ሆልዲንግስ ኢንጂነሪንግ ዳይሬክተር ስኮት ሂጊንስ ለላይፍዋይር በኢሜል ተናግረዋል። "ነገር ግን ጎበዝ ጠላፊዎች አሁን በዚህ መንገድ በረቀቀ መንገድ እየተጠቀሙበት ነው።"
የውሸት መግቢያ
በተለምዶ አጥቂዎች እንደ ሆሞግራፍ ጥቃቶች ያሉ ስልቶችን ተጠቅመው በዋናው ዩአርኤል ውስጥ የሚገኙትን አንዳንድ ፊደሎች በሚመስሉ ገጸ-ባህሪያት በመተካት አዲስ፣ለመገኘት አስቸጋሪ የሆኑ ተንኮል አዘል ዩአርኤሎችን እና የውሸት የመግቢያ ገፆችን ለመፍጠር።
ነገር ግን ሰዎች በጥንቃቄ ዩአርኤሉን ከመረመሩት ይህ ስልት ብዙ ጊዜ ይፈርሳል። የሳይበር ሴኪዩሪቲ ኢንደስትሪ ሰዎች ትክክለኛውን አድራሻ መመዝገቡን ለማረጋገጥ የዩአርኤል አሞሌውን እንዲፈትሹ እና ከጎኑ አረንጓዴ መቆለፊያ እንዳለው ሲመክር ድረ-ገጹ ደህንነቱ የተጠበቀ መሆኑን ያሳያል።
"ይህ ሁሉ ውሎ አድሮ እንዳስብ አድርጎኛል፣ የ'ዩአርኤልን ቼክ' ምክር አስተማማኝ እንዲሆን ማድረግ ይቻል ይሆን? ከሳምንት አእምሮዬ በኋላ መልሱ አዎ ነው ብዬ ወሰንኩኝ" ሲል የተጠቀመው ማንነቱ ያልታወቀ ተመራማሪ ጽፏል። የውሸት ስም፣ mr.d0x.
ጥቃቱ mr.d0x የተፈጠረው፣ አሳሽ ውስጥ-በአሳሹ (BitB) የተሰየመው፣ የዌብ-ኤችቲኤምኤልን ሶስት አስፈላጊ የግንባታ ብሎኮችን፣ ካስካዲንግ ስታይል ሉሆችን (CSS) እና ጃቫስክሪፕት - የውሸት ለመስራት ይጠቀማል። ከእውነተኛው ነገር የማይለይ የኤስኤስኦ ብቅ ባይ መስኮት።
የውሸት ዩአርኤል አሞሌ የሚፈልገውን ማንኛውንም ነገር ሊይዝ ይችላል፣እንዲያውም የሚሰራ የሚመስሉ ቦታዎች።በተጨማሪ፣የጃቫስክሪፕት ማሻሻያዎች በአገናኙ ላይ ማንዣበብ ወይም የመግቢያ ቁልፉ ልክ የሆነ የሚመስል የዩአርኤል መድረሻም ብቅ እንዲል ያደርጉታል። Higgins Mr. ከመረመረ በኋላ. የd0x ዘዴ።
BitBን ለማሳየት mr.d0x የመስመር ላይ የግራፊክ ዲዛይን መድረክ ካንቫ የውሸት ስሪት ፈጠረ። አንድ ሰው የኤስኤስኦ አማራጭን ተጠቅሞ ወደ ሀሰተኛው ጣቢያ ለመግባት ጠቅ ሲያደርግ፣ ድህረ ገጹ ብቅ ይላል የBitB የተሰራ የመግቢያ መስኮት እንደ ጎግል ካሉ የኤስኤስኦ አቅራቢው ህጋዊ አድራሻ ጋር ጎብኝው የመግቢያ ምስክርነታቸውን እንዲያስገባ ለማታለል ነው። ከዚያም ወደ አጥቂዎች ተላከ.
ቴክኒኩ በርካታ የድር ገንቢዎችን አስገርሟል። "ኧረ በጣም መጥፎ ነገር ነው፡ Browser In The Browser (BITB) Attack፣ የድረ-ገጽ ባለሙያ እንኳን ሊገነዘበው የማይችለውን መረጃ ለመስረቅ የሚያስችል አዲስ የማስገር ዘዴ" ሲል የዌብ እና የሞባይል ልማት ኩባንያ ማርሜላብ ዋና ስራ አስፈፃሚ ፍራንሷ ዛኒኖቶ በትዊተር ላይ ጽፈዋል።
የምትሄድበትን ተመልከት
BitB ወፍጮ ከሚሮጡ የውሸት የመግቢያ መስኮቶች የበለጠ አሳማኝ ቢሆንም፣ Higgins ሰዎች እራሳቸውን ለመከላከል ሊጠቀሙባቸው የሚችሏቸውን ጥቂት ምክሮች አጋርቷል።
ለጀማሪዎች፣ የBitB SSO ብቅ ባይ መስኮት ህጋዊ ብቅ ባይ ቢመስልም፣ በእርግጥ ግን አይደለም። ስለዚህ የዚህን ብቅ ባይ የአድራሻ አሞሌ ከያዝክ እና ለመጎተት ከሞከርክ ከዋናው ድህረ ገጽ መስኮቱ ጠርዝ በላይ አይንቀሳቀስም ከእውነተኛው ብቅ ባይ መስኮት በተለየ መልኩ ሙሉ በሙሉ ራሱን የቻለ እና ወደ ማንኛውም ሊንቀሳቀስ ይችላል። የዴስክቶፕ አካል።
Higgins ይህን ዘዴ በመጠቀም የኤስኤስኦ መስኮቱን ህጋዊነት መሞከር በተንቀሳቃሽ መሳሪያ ላይ እንደማይሰራ አጋርቷል።"ይህ [ባለብዙ ደረጃ ማረጋገጫ] ወይም የይለፍ ቃል አልባ የማረጋገጫ አማራጮችን መጠቀም በእርግጥ ጠቃሚ ሊሆን የሚችልበት ነው። በ BitB ጥቃት ሰለባ ብትሆንም [አጭበርባሪዎቹ] ያለእርስዎ የተሰረቁ ምስክርነቶችን መጠቀም አይችሉም ነበር። ሌሎች የኤምኤፍኤ የመግባት መደበኛ ክፍሎች " Higgins ጠቁመዋል።
ኢንተርኔት ቤታችን አይደለም። የሕዝብ ቦታ ነው። እየጎበኘን ያለነውን ማረጋገጥ አለብን።
እንዲሁም የውሸት የመግቢያ መስኮት ስለሆነ የይለፍ ቃል አቀናባሪው (አንድ እየተጠቀሙ ከሆነ) በራስ ሰር ምስክርነቱን አይሞላም፣ ይህም የሆነ ችግር እንዳለ ለማየት በድጋሚ ቆም እንዲል ይሰጥዎታል።
እንዲሁም የBitB SSO ብቅ-ባይ ለመለየት አስቸጋሪ ቢሆንም አሁንም ከተንኮል አዘል ጣቢያ መጀመር እንዳለበት ማስታወሱ ጠቃሚ ነው። እንደዚህ ያለ ብቅ ባይ ለማየት ቀድሞውንም የውሸት ድር ጣቢያ ላይ መሆን ነበረብህ።
ለዚህም ነው ወደ ሙሉ ክበብ የሚመጣው Adrien Gendre በ Vade Secure ዋና ቴክ እና የምርት ኦፊሰር ሰዎች አገናኙን በተጫኑ ቁጥር ዩአርኤሎችን እንዲመለከቱ ይጠቁማሉ።
በተመሳሳይ መንገድ በትክክለኛው የሆቴል ክፍል ውስጥ መሆናችንን ለማረጋገጥ በሩ ላይ ያለውን ቁጥር እንፈትሻለን፣ሰዎች ሁል ጊዜ ድህረ ገጽን ሲጎበኙ ዩአርኤሎችን በፍጥነት ማየት አለባቸው። በይነመረብ ቤታችን አይደለም። ይፋዊ ቦታ ነው። እየጎበኘን ያለነውን ማረጋገጥ አለብን ሲል Gendre ገልጿል።
