Творчество кибершпаны, или Атака «браузер в браузере»
Пользователи уже более-менее привыкли скрывать код из СМС и проверять адрес сайта: например, не написано ли там tenkoff вместо tinkoff. Но кибершпана не дремлет! Новый способ выудить наши пароли — атака «браузер в браузере», описал исследователь под ником mr.d0x. Погнали за шторку, разбираться, что это такое!
Начнём со средств создания веб-страниц: они позволяют нарисовать что угодно. Прикиньте, даже чужую страницу сайта на своей странице.
А теперь вспомните любой сайт, где можно авторизоваться через соцсети или другой сторонний сервис: пользователь нажимает «войти через Google», открывается окошко гугла и ву-а-ля. Понимаете, к чему я клоню?🤔
Вообще это удобно и относительно безопасно, ведь никакие левые сайты не получат доступ к паролю от гугла или аккаунта в соцсети. Кибершпана же предлагает нарисовать страницу браузера прямо на своей. Для пользователя это будет выглядеть так, будто открылась самая обычная страница авторизации через AppleID, Google Аккаунт и так далее.
Один из способов заметить такую уловку — подвигать страницу аутентификации. Если она подлинная, то вы без проблем вытащите ее за пределы браузера. Если же она перемещается только внутри открытого окна и сворачивается вместе с основной страницей, перед вами творчество киберговнюков.
Пользователи уже более-менее привыкли скрывать код из СМС и проверять адрес сайта: например, не написано ли там tenkoff вместо tinkoff. Но кибершпана не дремлет! Новый способ выудить наши пароли — атака «браузер в браузере», описал исследователь под ником mr.d0x. Погнали за шторку, разбираться, что это такое!
Начнём со средств создания веб-страниц: они позволяют нарисовать что угодно. Прикиньте, даже чужую страницу сайта на своей странице.
А теперь вспомните любой сайт, где можно авторизоваться через соцсети или другой сторонний сервис: пользователь нажимает «войти через Google», открывается окошко гугла и ву-а-ля. Понимаете, к чему я клоню?🤔
Вообще это удобно и относительно безопасно, ведь никакие левые сайты не получат доступ к паролю от гугла или аккаунта в соцсети. Кибершпана же предлагает нарисовать страницу браузера прямо на своей. Для пользователя это будет выглядеть так, будто открылась самая обычная страница авторизации через AppleID, Google Аккаунт и так далее.
Один из способов заметить такую уловку — подвигать страницу аутентификации. Если она подлинная, то вы без проблем вытащите ее за пределы браузера. Если же она перемещается только внутри открытого окна и сворачивается вместе с основной страницей, перед вами творчество киберговнюков.