top of page

Как украсть учётки пользователей, проведя атаку «Браузер в браузере».

В этой статье мы с вами пошагово разберем реализацию данной атаки на практике 🔥

Всем салют, дорогие друзья!

Сегодня я расскажу вам о достаточно новой технике фишинга, имитирующей окно браузера внутри браузера для подделки легитимного домена.


Прошу вас обратить внимание на скрин:

Обратите внимание на домен и содержимое окна

Все мы обычно привыкли, что URL-адрес (адрес сайта, в адресной строке браузера) обычно является самым важным подтверждением того, что мы находимся на оригинальном сайте.


Да, безусловно существуют атаки типа IDN Homograph и DNS Hijacking, способные обойти этот аспект. Однако, подобные атаки не смогут сделать URL-адреса абсолютно ненадежными. А вот рассматриваемая в статье атака - может!


Должен предупредить, что проведение фишинговой атаки без получения согласия преследуется по закону.
 

Всплывающие окна авторизации

Довольно часто при авторизации на веб-сайте через Google, Microsoft, Apple и т.д. появляется всплывающее окно с запросом на аутентификацию. На скрине ниже показано окно, появляющееся при попытке войти в Canva с помощью учетной записи Google:

 

Дублирование окна

Повторить дизайн окна с помощью базового HTML/CSS довольно просто. Если объединить дизайн окна с iframe, ведущим на вредоносный сервер с фишинговой страницей, то окно будет практически неотличимо от других. На изображении ниже показано поддельное окно в сравнении с настоящим. Как видим, различия между ними совсем незначительные:

При помощи JavaScript легко добиться появления окна при нажатии на ссылку или кнопку, при загрузке страницы и т.д. Кроме того, можно придать окну визуально привлекательный вид с помощью анимации, доступной в библиотеках, например, JQuery.

 

Демо-версия

 

Пользовательский URL при наведении

Определение подлинности URL-адреса с помощью наведения курсора при разрешенном JavaScript не очень эффективно. HTML для ссылки обычно выглядит следующим образом:

Если добавить событие onclick, возвращающее false, то при наведении курсора на ссылку веб-сайт будет по-прежнему отображаться в атрибуте href, но при нажатии на ссылку атрибут href будет игнорироваться. Используя данную информацию, можно придать всплывающему окну более реалистичный вид.

 

Где скачать готовые шаблоны под это дело

Хорошая новость для начинающих хакеров состоит в том, что уже созданы готовые шаблоны для следующих ОС и браузеров:

  • Windows - Chrome (светлый и темный режимы)

  • Mac OSX - Chrome (светлый и темный режимы)

👉Скачать готовые шаблоны можно на Github: жмите сюда

 

Заключение

Данная техника позволяет повысить достоверность нашего фейкового сайта при осуществлении фишинговой атаки. Оказавшись на мошенническом сайте, цель не заметит обмана, ведь о легитимности сайта свидетельствует вполне правдоподобный URL. Ничего не подозревающая жертва введет в всплывающем окне учетные данные, которые сразу направятся к хакеру.


118 просмотров

Недавние посты

Смотреть все
bottom of page