リアルな偽ウィンドウ

ほぼこもセキュリティニュース By Terilogy Worx

ちょっとしたことでも、リアルさが増します。
リアルな偽のウィンドウが確認されています。

最近、いろいろなウェブサイトでシングルサインオン機能が実装されています。
なにかのサービスにアカウント登録しようとした際に、別の有名なサイトのログイン情報を入力してログインするタイプのものです。
Google、Microsoft、Apple、Twitterなどのアカウントでの認証を行うことでそのサイトでの認証を行うものです。
後ろ側ではOAuthが使われるケースが多い感じがします。
これそのものは正しく使われている分には安全が実現できるのだと思います。

このときに表示される認証用のブラウザウィンドウに見える偽のChromeブラウザウィンドウを実現できるようにするフィッシングキットがリリースされました。

従来から偽のブラウザウィンドウを表示する技法はありました。
ブラウザウィンドウを重ねて表示して実際とは違うコンテンツをユーザに操作させるような技法です。
この技法は結構リアルなのですが、動作環境によって微妙にずれが出てしまうこともあり、ユーザによっては本物ではないことに気が付くこともあるようなものでした。

新しく考え出された技法はBrowser In The Browser Attackと命名されました。
BITB Attackとも表記します。
この技法は画像を重ねて表示するのではなくHTMLのtemplate機能を使って実現されているのでずれて表示されるようなことは起こりません。
加えてURLもうまく偽装することができる内容まで実装されていますので、もはや偽物であることの判別は容易にはできそうにありません。

OAuthは非常に便利なものですが、悪意を持って使用すると悪くもできるということでしょうか。
利用者にとってどんどん厳しい状況になっていきます。
便利と危険はとても近いところにあると感じます。

参考記事(外部リンク):New Phishing toolkit lets anyone create fake Chrome browser
windows

www.bleepingcomputer.com/news/security/new-phishing-toolkit-lets-anyone-create-fake-chrome-browser-windows/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。