ფიშინგ კამპანიების რაოდენობის ზრდისა და მათი სულ უფრო დახვეწილი მეთოდების ფონზე, ონლაინ სივრცეში ნანახის ავტომატურად დაჯერება უკვე სარისკოა. ერთ-ერთი განსაკუთრებით მზაკვრული თაღლითური მეთოდია browser-in-the-browser (BitB) შეტევა, რომლის დროსაც თავდამსხმელები ქმნიან ყალბ ბრაუზერის ფანჯარას, რომელიც სანდო ერთიანი ავტორიზაციის (SSO) შესვლის გვერდს ჰგავს და რეალური ბრაუზერის შიგნით ჩნდება.

ვინაიდან SSO-ს ვიყენებთ მრავალი ონლაინ ანგარიშის შესასვლელად, ხშირად დაუფიქრებლად შეგვყავს მომხმარებლის სახელი და პაროლი ასეთ ყალბ გვერდებზე. სწორედ ამ დაუფიქრებლობაზე აკეთებენ გათვლას კიბერდამნაშავეები, რათა მომხმარებლის მონაცემები მოიპარონ.

მომხმარებლის ყალბ ვებსაიტზე გადამისამართების ნაცვლად, BitB შეტევის განმახორციელებლები ქმნიან ყალბ pop-up ფანჯარას იმავე გვერდზე, რომელზეც უკვე იმყოფები (ეს გვერდი შეიძლება სპეციალურად იყოს შექმნილი შეტევისთვის ან ადრე კომპრომეტირებული).

HTML-ის, CSS-ისა და JavaScript-ის გამოყენებით, ისინი ქმნიან შესვლის ფანჯარას, რომელიც რეალურს ზუსტად ჰგავს — მისამართის ზოლში გამოსახული URL-ითა და დაბლოკვის (lock) აიკონითაც კი.

ასეთი ყალბი ავტორიზაციის ფანჯრები, როგორც წესი, ბუნებრივად ჩნდება — მაგალითად, ღილაკზე დაჭერის ან გადამისამართების შემდეგ, რასაც რეალური SSO-ს შემთხვევაში ელოდები. თუ ასეთ ფანჯარაში შეყვან პაროლსა და მომხმარებლის სახელს, ეს მონაცემები პირდაპირ თავდამსხმელების ხელში ხვდება, რომლებიც მათ თავად იყენებენ ან ყიდიან.

თაღლითური pop-up ფანჯრები ხშირად ბაძავს Google-ის, Apple-ისა და Microsoft-ის SSO სისტემებს, თუმცა შესაძლოა გამოყენებული იყოს ნებისმიერი შესვლის პორტალი. მიმდინარე წლის დასაწყისში Silent Push-ის მკვლევრებმა გამოავლინეს BitB ფიშინგ კამპანია, რომელიც Steam-ის მომხმარებლებს, განსაკუთრებით კი Counter-Strike 2-ის მოთამაშეებს მიზანში იღებდა. მოთამაშეებს ეკრანზე ეჩვენებოდათ ყალბი ბრაუზერის ფანჯარა, რომელშიც Steam-ის რეალური URL იყო ნაჩვენები, რაც მათ ეჭვის გარეშე აიძულებდა მონაცემების შეყვანას. სანდოობის გასაზრდელად თავდამსხმელები eSports გუნდის — NAVI-ის — ვიზუალურ ელემენტებსაც იყენებდნენ.

ვინაიდან თავდამსხმელებს შეუძლიათ სანდო ავტორიზაციის გვერდების თითქმის იდეალურად მიბაძვა — მათ შორის რეალური დომენის ჩვენება მისამართის ზოლში — მხოლოდ ვიზუალური დათვალიერება ხშირად საკმარისი არ არის. აუცილებელია ფანჯარასთან ინტერაქცია.

ბევრ შემთხვევაში ნამდვილი SSO pop-up ფანჯარა შეიძლება ეკრანზე გადაადგილდეს და დაშორდეს იმ ბრაუზერის გვერდს, რომლის ზემოდანაც გამოჩნდა. პირველ რიგში სცადე მისი გადათრევა სხვა ადგილზე. თუმცა უნდა იცოდე, რომ ზოგი SSO ფანჯარა სტატიკურია და გადაადგილებას არ ექვემდებარება.

თუ გადათრევა ვერ მოხერხდა, სცადე URL-ის მონიშვნა ან დაბლოკვის აიკონზე დაჭერა სერტიფიკატის დეტალების სანახავად. ყალბ ფანჯარაში ეს ელემენტები რეალურად არ ფუნქციონირებს, რადგან მთელი ფანჯარა უბრალოდ გამოსახულებაა და არა ნამდვილი ბრაუზერის ობიექტი.

ამ მიზეზით განსაკუთრებით მნიშვნელოვანია უსაფრთხო პაროლის მენეჯერის გამოყენება, რომელიც ავტომატურად ავსებს მონაცემებს მხოლოდ ლეგიტიმურ დომენებზე. თუ პაროლის მენეჯერი არ ავსებს მონაცემებს, ნუ დააიგნორებ ამას ავტომატურად — გადაამოწმე, ნამდვილად ნამდვილია თუ არა შესვლის ფანჯარა.

ასევე აუცილებელია მრავალფაქტორიანი ავთენტიკაციის (MFA) ჩართვა იქ, სადაც ეს შესაძლებელია. მაშინაც კი, თუ მომხმარებლის სახელი და პაროლი კომპრომეტირებული გახდება, თავდამსხმელს დამატებითი ფაქტორის გარეშე ანგარიშზე წვდომა ვერ ექნება.

უნდა გაითვალისწინო, რომ MFA-ის ზოგი ფორმაც შეიძლება ფიშინგის მსხვერპლი გახდეს. ყველაზე უსაფრთხო ვარიანტებად ითვლება ფიზიკური უსაფრთხოების გასაღებები, ბიომეტრია და passkey-ები.

წყარო: lifehacker.com