מתקפת פישינג חדשה: לשוניות הדפדפן מנסות לדוג את הסיסמא שלכם

השבוע חשף מומחה אבטחת מידע בשם אזה רסקין, סוג חדש של מתקפת פישינג, הנקראת Tabjacking. המתקפה החדשה, הפועלת בצורה גאונית למדי, מתייחסת לאתרים המשנים את המראה שלהם לאחד מהאתרים הגדולים והמוכרים לאחר כמה שניות של חוסר פעילות.

רובכם כבר ודאי מכירים את המושג פישינג, אך רוב האנשים שיתבקשו להגדיר מהי מתקפת פישינג, בדרך כלל יקשרו את הנושא לאי-מיילים המכילים קישורים לאתרים “מזויפים” הנראים כמו אתרים גדולים ומוכרים ומנסים לשכנע אותנו להכניס את שם המשתמש והסיסמא שלנו ועל-ידי כך לגנוב אותם. מה שרוב המשתמשים אינם יודעים, הוא שההגדרה של המושג פישינג (באנגלית Phishing) מגיעה כקיצור של Password fISHING והיא בהחלט אינה ייחודית לאותם מיילים מדוברים. כיום, ישנם צורות רבות ושנות לפישינג ברחבי האינטרנט, כולל מתקפות פישינג באמצעות תוכנות Instant Messeging, פורומים ואפילו באמצעות רשתות חברתיות אותן כבר הזכרנו לא מעט בחודשים האחרונים.

השבוע חשף מומחה אבטחת מידע בשם אזה רסקין, סוג חדש של מתקפת פישינג, הנקראת Tabjacking. המתקפה החדשה, הפועלת בצורה גאונית למדי, מתייחסת לאתרים המשנים את המראה שלהם לאחד מהאתרים הגדולים והמוכרים לאחר כמה שניות של חוסר פעילות.

איך זה עובד?

המשתמש גולש לאתר הנראה תמים למראה ומחליט להשאיר אותו פתוח באחד מהלשוניות (טאבים) של הדפדפן. בשלב הזה, קוד Javascript המושתל באתר משנה את העמוד לעמוד שנראה כמו עמוד ההתחברות של אחד מהשירותים הגדולים (כגון ג’ימייל, פייסבוק ועוד) ואפילו משנה את ה-Favicon של העמוד ואת הכותרת שלו לכאלו שיהיו זהים לאלו של העמוד אליו הוא מנסה להתחזות.

משתמשים רבים מזהים היום את האתרים אליהם הם גולשים ומשאירים פתוחים בלשוניות השונות בדפדפן באמצעות הכותרת וה-Favicon המופיעים בלשונית (מאחר ורובינו לא בהכרח זוכרים איזה לשונית פתוחה באיזה אתר בעל-פה), ולכן, כאשר המשתמש מעוניין לחזור לאחד מהשירותים השונים בהם הוא משתמש (דוגמת ג’ימייל או פייסבוק), הוא יעשה זאת על-ידי חיפוש בין הלשוניות את הלשונית הפתוחה על האתר. כאשר המשתמש ילחץ על הלשונית, הוא יקבל את עמוד ההתחברות של האתר, אשר נראה זהה לחלוטין לאתר המקורי (לדוגמה, במקרה של ג’ימייל, המשתמש יראה את עמוד ההתחברות לשירות). בשלב הזה, רוב המשתמשים פשוט יקלידו את פרטי ההתחברות שלהם והמערכת שיושבת מאחורי הקלעים, תשלח את פרטי ההתחברות אל בעלי האתר ולאחר מכן תבצע הפניה אל האתר המקורי בלי שהמשתמש יבחין בכך.

איך אפשר לשים לב?

חשוב לשים לב כי הכתובת המקורית של האתר לא תשתנה. כלומר, במידה ונכנסתם לאתר בכתובת מסוימת ולאחר מכן האתר השתמש במתקפה המדוברת והחליף את המראה שלו, הכתובת שתופיע בשורת הכתובת עדיין תשאר הכתובת המקורית של האתר. כמו כן, סביר מאוד להניח שאתרים מהסוג הזה ישתמש בקידומת http ולא https, כך שניתן יהיה לראות שהחיבור לא עובד בצורה מוצפנת ומאחר ואף אחד מהשירותים אינו מבצע חיבור ללא SSL, רוב הסיכויים הם שמדובר באתר פישינג.

רוצים לראות איך זה נראה?

בפוסט המקורי של אזה רסקין, הוכנס קוד ה-Javascript המדובר המשנה את העמוד לעמוד הנראה כמו עמוד ההתחברות של Gmail. לאחר שנכנסתם לעמוד, יש לעבור ללשונית אחרת בדפדפן ולאחר כמה שניות, תוכלו להבחין בשינוי. העמוד עצמו אינו מזיק ואינו מאפשר להכניס פרטים כך שלא ניתן להתבלבל, אך הוא מדגים בצורה מאוד יפה כיצד המתקפה עובדת.

Avatar

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

5 תגובות על "מתקפת פישינג חדשה: לשוניות הדפדפן מנסות לדוג את הסיסמא שלכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אריה
Guest

חמוד מאוד, עוד סיבה לעבור לכרום, בכרום זה לא עובד.

עומר
Guest

אין שום סידה שזה לא יעבוד!

עם javascript אפשר לשנות את כל העמוד למה שרוצים ולכן אין שום סיבה שזה לא יפעל!

עומר.

שחר
Guest

לצערי ולצער כולנו – עובד גם עובד בכרום…

אורי
Guest

שימו לב שמדובר בהתקפה תיאורטית, בקונספט בלבד ולא בדיווח על התקפה שהתרחשה. כמו כן צריך להבין שהדבר מחייב פריצה לאתר שבו גולש הקורבן. פריצות כגון אלה נפוצות מאוד ומשמשות בד”כ להשתלת קוד זדוני שינסה להדביק את הקורבן בסוס טרויאני, או לחלופין להפנות אותו לאתר המוכר אנטי-וירוס מזוייף שלא היה ולא נברא. הייתי אומר שנסיון לבצע פישינג, התקפה שנחשבת פחות יעילה כנגד ההגנות שמרבית הבנקים בעולם מפעילים, יהיה בעדיפות נמוכה יותר מבחינת עלות-תועלת. ועם כל זאת, מדובר אכן ברעיון ערמומי במיוחד.

ששש
Guest

בדפדפנים נורמליים (לא IE) יש מנגנון לחסימת פישינג, מעניין אם הוא מצליח לחסום את הפישינג הזה

wpDiscuz

תגיות לכתבה: