作者 Evan | 發布日期 2022 年 03 月 25 日 8:30[資訊安全]
如今不論訂閱遊戲、影音串流服務、網路新聞或網路購物,都可簡便快速透過各種單一登入(SSO)驗證機制(如用 Google 帳號登入)享受各種線上服務。但這看似安全的簡便驗證機制也不再安全,因已成為網路釣魚攻擊者發動新型「瀏覽器的瀏覽器」(Browser-in-the-Browser,BitB)攻擊最佳切入點。
最近網路出現 BitB 攻擊這全新網路釣魚技術,釣魚攻擊駭客可用瀏覽器構建假瀏覽器視窗,以便偽造合法網域,發動即使精明網友也難區分察覺的釣魚攻擊。某滲透測試暨安全研究人員推文(帳號「mrd0x」)指出,攻擊手法充分運用時下網站普遍熱門內嵌的第三方 SSO 身分驗證選項(如常見的用 Google、Facebook 或 Apple ID 登入)發動釣魚攻擊。
一般而言,使用者嘗試透過第三方 SSO 驗證機制登入時,畫面會跳出要求使用者完成身分驗證程序的視窗。BitB 攻擊者會複製偽造整個驗證程序,方法是透過混合 HTML 及 CSS 的程式碼建立完全偽造的瀏覽器視窗。不僅如此,視窗設計還會整合惡意 iframe 框架,基本上指向控制釣魚頁面的惡意伺服器。接著攻擊者只需透過 JavaScript,便能輕鬆讓假視窗出現在連結或載入頁面。
駭客曾透過 BitB 手法偽造《CS 絕對武力:全球攻勢》網站
這「全新」釣魚攻擊手法早在 2020 年 2 月就高調現身,當時攻擊者透過 BitB 手法打造假《絕對武力:全球攻勢》(Counter-Strike: Global Offensive,CS: GO)網站,以竊取電子遊戲數位發行服務 Steam 憑證。對使用者來說,這假網站看起來一切正常,因網域 Steamcommunity[.]com 合法,且還使用安全 HTTPS。但當使用者嘗試從目前視窗拖拉這提示視窗時,會消失於邊緣以外。這一點也不意外,因本就不是合法彈出式視窗,而是目前視窗以 HTML 偽造的視窗。
儘管 BitB 手法讓駭客更輕易展開各種有效社交工程攻擊,但駭客還是要確保受害者必須成功重新導向到會顯示假冒身分驗證視窗的釣魚網域才行,否則無法取得想要的使用者憑證。一旦使用者成功導向攻擊者擁有的網站時,即使再精明的使用者也無法看出網站「有鬼」,並在認定合法網站後,便完全放心在惡意網站輸入憑證。
此 BitB 非彼 BitB,網路釣魚或 DDoS 各有所愛
除此之外,早在 2011 年 12 月趨勢科技「資安趨勢部落格」〈HTML5 所帶來醜惡的一面 3-3〉一文便曾介紹另一種縮寫名稱一樣叫 BitB 的殭屍網路攻擊手法,但全名是「瀏覽器殭屍網路」(Botnets in The Browser),這是基於惡意瀏覽器擴充功能/外掛套件(extension)殭屍網路框架。所以動手腳的地方全然不同,前述 BitB 專攻 SSO 驗證機制,這 BitB 鎖定瀏覽器擴充功能套件。發動型態也不太一樣,雖然駭客也會利用這種手法發動網路釣魚攻擊,但仍以 DDoS 分散式阻斷服務攻擊為大宗。
- New Browser-in-the Browser (BITB) Attack Makes Phishing Nearly Undetectable ♣