ちょっとしたことでも、リアルさが増します。
リアルな偽のウィンドウが確認されています。
最近、いろいろなウェブサイトでシングルサインオン機能が実装されています。
なにかのサービスにアカウント登録しようとした際に、別の有名なサイトのログイン情報を入力してログインするタイプのものです。
Google、Microsoft、Apple、Twitterなどのアカウントでの認証を行うことでそのサイトでの認証を行うものです。
後ろ側ではOAuthが使われるケースが多い感じがします。
これそのものは正しく使われている分には安全が実現できるのだと思います。
このときに表示される認証用のブラウザウィンドウに見える偽のChromeブラウザウィンドウを実現できるようにするフィッシングキットがリリースされました。
従来から偽のブラウザウィンドウを表示する技法はありました。
ブラウザウィンドウを重ねて表示して実際とは違うコンテンツをユーザに操作させるような技法です。
この技法は結構リアルなのですが、動作環境によって微妙にずれが出てしまうこともあり、ユーザによっては本物ではないことに気が付くこともあるようなものでした。
新しく考え出された技法はBrowser In The Browser Attackと命名されました。
BITB Attackとも表記します。
この技法は画像を重ねて表示するのではなくHTMLのtemplate機能を使って実現されているのでずれて表示されるようなことは起こりません。
加えてURLもうまく偽装することができる内容まで実装されていますので、もはや偽物であることの判別は容易にはできそうにありません。
OAuthは非常に便利なものですが、悪意を持って使用すると悪くもできるということでしょうか。
利用者にとってどんどん厳しい状況になっていきます。
便利と危険はとても近いところにあると感じます。
参考記事(外部リンク):New Phishing toolkit lets anyone create fake Chrome browser
windows
www.bleepingcomputer.com/news/security/new-phishing-toolkit-lets-anyone-create-fake-chrome-browser-windows/
| この記事をシェア |
|
|---|
