Продемонстрирована атака «браузер в браузере», позволяющая подделывать окна в Chrome - «Новости» » Интернет технологии
sitename
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
 «Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
«Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
 Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
 Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
 Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Продемонстрирована атака «браузер в браузере», позволяющая подделывать окна в Chrome - «Новости»

✔Продемонстрирована атака «браузер в браузере», позволяющая подделывать окна в Chrome - «Новости»

22 марта 2022 739 Новости / Сайтостроение / Формы / Линии и рамки / HTML, CSS, JavaScript. / Преимущества стилей / Текст / Отступы и поля 0

ИБ-исследователь, известный под псевдонимом mr.d0x, представил новый метод атаки на браузеры, который позволит создавать фишинговые формы входа, используя для этого фейковые окна в браузере Chrome.


Атака получила название browser-in-browser («браузер в браузуре»). Она основывается на том факте, что при входе на сайты нередко можно увидеть предложение залогиниться с помощью учетной записи Google, Microsoft, Apple, Twitter, Facebook, Steam и так далее. При нажатии такой кнопки (например, «Login in with Google») в браузере отобразится окно single-sign-on (SSO), в котором будет предложено ввести учетные данные и войти в систему с этой учетной записью.





Важно, что такие окна урезаны и отображают только форму для входа и адресную строку, показывающую URL-адрес. Этот URL-адрес позволяет убедиться, что для входа на сайт используется настоящий домен (например, google.com), что еще больше повышает доверие к процедуре.


В прошлом хакеры не раз пытались подделывать окна SSO с помощью HTML, CSS и jаvascript, но обычно такие фальшивки выдают какие-то элементы. Новая атака browser-in-browser, в свою очередь, использует готовые шаблоны для создания фейковых, но очень реалистичных всплывающих окон в Chrome и позволяет настраивать URL-адреса и заголовки для фишинговых атак. По сути, атака создает поддельные окна в реальных окнах браузера (отсюда и название).



Продемонстрирована атака «браузер в браузере», позволяющая подделывать окна в Chrome - «Новости»


Mr.d0x уже выложил результат своих исследований и шаблоны для Google Chrome для Windows и Mac (есть варианты темной и светлой темы) на GitHub.  Он подчеркивает, что они очень просты в использовании и помогут создать вызывающие доверие окна SSO практически для любой онлайн-платформы.


Исследователь позиционирует свою разработку как инструмент для red team, и говорит, что ИБ-специалисты могут просто загрузить его шаблоны, отредактировать их, чтобы они содержали нужный URL-адрес и заголовок, а затем использовать iframe для их отображения. Также можно добавить HTML формы входа непосредственно в шаблон, но для этого нужно будет выровнять форму, используя CSS и HTML. Все это предлагается применять для проверки защиты клиентов или сотрудников.


В беседе с журналистами Bleeping Computer mr.d0x рассказал, что эту технику атак нельзя назвать инновационной. Так, по его словам, еще в 2020 году злоумышленники использовали похожую тактику и поддельные игровые сайты для кражи учетных данных от профилей Steam.


Также подчеркивается, что у этого подхода есть определенные ограничения: он поможет обмануть людей, он вряд ли сумеет обмануть другое ПО. К примеру, менеджеры паролей вряд ли  будут автоматически вводить учетные данные в поддельное окно, потому как не сочтут его настоящим. Тем не менее, ИБ-специалисты опасаются, что атаки browser-in-browser могут использоваться в сочетании с вредоносной рекламой и могут причинить немало вреда.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

ИБ-исследователь, известный под псевдонимом mr.d0x, представил новый метод атаки на браузеры, который позволит создавать фишинговые формы входа, используя для этого фейковые окна в браузере Chrome. Атака получила название browser-in-browser («браузер в браузуре»). Она основывается на том факте, что при входе на сайты нередко можно увидеть предложение залогиниться с помощью учетной записи Google, Microsoft, Apple, Twitter, Facebook, Steam и так далее. При нажатии такой кнопки (например, «Login in with Google») в браузере отобразится окно single-sign-on (SSO), в котором будет предложено ввести учетные данные и войти в систему с этой учетной записью. Важно, что такие окна урезаны и отображают только форму для входа и адресную строку, показывающую URL-адрес. Этот URL-адрес позволяет убедиться, что для входа на сайт используется настоящий домен (например, google.com), что еще больше повышает доверие к процедуре. В прошлом хакеры не раз пытались подделывать окна SSO с помощью HTML, CSS и jаvascript, но обычно такие фальшивки выдают какие-то элементы. Новая атака browser-in-browser, в свою очередь, использует готовые шаблоны для создания фейковых, но очень реалистичных всплывающих окон в Chrome и позволяет настраивать URL-адреса и заголовки для фишинговых атак. По сути, атака создает поддельные окна в реальных окнах браузера (отсюда и название). Mr.d0x уже выложил результат своих исследований и шаблоны для Google Chrome для Windows и Mac (есть варианты темной и светлой темы) на GitHub. Он подчеркивает, что они очень просты в использовании и помогут создать вызывающие доверие окна SSO практически для любой онлайн-платформы. Исследователь позиционирует свою разработку как инструмент для red team, и говорит, что ИБ-специалисты могут просто загрузить его шаблоны, отредактировать их, чтобы они содержали нужный URL-адрес и заголовок, а затем использовать iframe для их отображения. Также можно добавить HTML формы входа непосредственно в шаблон, но для этого нужно будет выровнять форму, используя CSS и HTML. Все это предлагается применять для проверки защиты клиентов или сотрудников. В беседе с журналистами Bleeping Computer mr.d0x рассказал, что эту технику атак нельзя назвать инновационной. Так, по его словам, еще в 2020 году злоумышленники использовали похожую тактику и поддельные игровые сайты для кражи учетных данных от профилей Steam. Также подчеркивается, что у этого подхода есть определенные ограничения: он поможет обмануть людей, он вряд ли сумеет обмануть другое ПО. К примеру, менеджеры паролей вряд ли будут автоматически вводить учетные данные в поддельное окно, потому как не сочтут его настоящим. Тем не менее, ИБ-специалисты опасаются, что атаки browser-in-browser могут использоваться в сочетании с вредоносной рекламой и могут причинить немало вреда.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: