A közelmúltban publikálták azt az adathalászati technológiát az interneten, amelynek segítségével gyakorlatilag tökéletesen megtéveszthető a felhasználó annak érdekében, hogy megadja belépési adatait egy adatlopásra szakosodott online felületen.
Hogyan működik a BitB adatlopás?
Az úgynevezett browser-in-the-browser (BitB) technika tulajdonképpen egy az eredetihez megtévesztésig hasonló belépési popup ablak, amely a böngészőnkben megnyitott weboldalon jelenik meg.
Az első olvasatra komplikáltnak tűnő kivitelezés egy tulajdonképpen egyszerű szemfényvesztést takar, amelynek egyik lehetséges folyamata a következő:
- a hackerek által üzemeltetett weboldalra érkezik a látogató (pl. nyereményjáték csali weboldal),
- a weboldalon bejelentkezési lehetőséget kínálnak fel, amelyet Facebook, Google, Apple, vagy akár Microsoft fiókkal is megtehetünk egy gombra kattintva,
- a fent felsorolt gombok valamelyikére kattintás után a hackerek által létrehozott felpattanó ablak jelenik meg képernyőnkön (ez tulajdonképpen egy felpattanó ablakba beágyazott weboldal – ún. iframe-ben), amely az eredeti Facebook, Google, Apple, Microsoft belépési ablakhoz megtévesztésig hasonló,
- a felpattanó belépési ablak tökéletes mása az eredetinek (https-es linket és lakat ikont is tartalmaz, amely a biztonságos böngészést hivatott garantálni, a link teljesen megegyezik a hivatalos Fb, Apple, Google, Microsoft linkkkel), így a gyanútlan felhasználó beírva a belépési adatait az ablakba a hackerek részére továbbítja az adatait.
A bal oldali a hamis, jobb oldali az eredeti Facebook bejelentkezési popup ablak.
Megtévesztésig hasonló.
Hamis Microsoft belépési popup ablak, szinte tökéletes az eredetivel való egyezés
A hackerek a kivitelezéshez egy meglehetősen egyszerű webes technológiát alkalmaznak, így az ilyen csaló oldalak létrehozása könnyedén elvégezhető, ráadásul a felépítéséhez szükséges forráskódok az interneten már elérhetőek publikusan.
Hogyan védekezhetünk a BitB adatlopás ellen?
Ez a típusú adatlopás gyakorlatilag észrevehetetlen, de ha betartunk néhány alapszabályt, akkor sikerrel kerülhetjük el azt, hogy a hackerek áldozatává váljunk:
- A BitB adatlopáshoz mindenképpen szükséges az, hogy a hackerek által üzemeltetett weboldalt nyissunk meg. Ehhez az szükséges, hogy a hackerektől érkező üzenetben található linkre kattintsunk. Az adathalász üzenetek ismertetőjegyei korábbi bejegyzésünkben itt elolvashatóak.
- Ha belépési popup ablakkal találkozunk, ragadjuk meg a felpattanó ablakot, és próbáljuk meg a képernyő szélére húzni az ablakot, ha hamis popup ablakról van szó, nem fog új oldalon megnyílni.
Fotó forrása: pexels.com