Відео: ÐÑÐ¸ÐºÐ¾Ð»Ñ Ñ ÐºÐ¾Ñками и коÑами (Листопад 2024)
Ми багато говоримо про екзотичні напади зловмисного програмного забезпечення та неясні вразливості безпеки тут, на SecurityWatch, але атака може скористатися чимось основним, як те, як з'являються вікна на екрані. Один із дослідників продемонстрував методику, згідно з якою жертви підманюють запуск зловмисного програмного забезпечення лише натисканням літери "r".
Наприкінці минулого місяця дослідник Росаріо Валотта написав допис на своєму веб-сайті, де виклав напад, побудований навколо "зловживань користувальницьких інтерфейсів". Ця методика використовує деякі химерності у веб-браузерах, із простою частиною соціальної інженерії.
Атака
Його називають "клавіатурним в'язком" після техніки клік-джекингу, коли жертви наштовхуються на клацання об'єкта, що генерує несподівані відповіді. На прикладі Валотти, ви відвідуєте шкідливий сайт і починається автоматичне завантаження. У Internet Explorer 9 або 10 для Windows 7 це запускає дуже звичне діалогове вікно з параметрами Запустити, Зберегти або Скасувати.
Ось і виходить хитрість: зловмисник встановлює веб-сайт, щоб приховати вікно підтвердження за веб-сторінкою, але утримує вікно підтвердження у фокусі. Веб-сайт пропонує користувачеві натиснути букву "R", можливо, використовуючи капчу. Мигальний курсор курсору на веб-сайті спонукає користувача думати, що його чи її натискання клавіш з’являться у діалоговому вікні підробленої капчу, але насправді надсилається у вікно підтвердження, де R - ярлик для запуску.
Атака також може бути використана в Windows 8, при цьому аспект соціальної інженерії був модифікований для того, щоб примусити жертву потрапляти в TAB + R. Для цього Валотта пропонує використовувати гру для тестування тексту.
Для всіх нас, хто користується Chrome, Валотта придумала ще одну хитрість, що є традиційною жилою кліків. У цьому випадку жертва натискає щось лише для того, щоб воно зникло в останню секунду і реєструвало натискання на вікно внизу.
"Ви відкриваєте вікно поповнення за певними координатами екрана і поміщаєте його під переднє вікно, після чого починаєте завантаження виконуваного файлу", - пише він. Вікно на передньому плані спонукає користувача натиснути - можливо, щоб закрити оголошення.
"Зловмисник, використовуючи деякий JS, здатний відслідковувати координати вказівника миші, так що, як тільки миша нависає на кнопку, зловмисник може закрити вікно переднього плану", - продовжує Валотта. "Якщо терміни підходять, є великі шанси, що жертва натисне на основну панель сповіщень для населення, тому власне запустить виконуваний файл."
Найстрашніша частина цієї атаки - соціальна інженерія. У своєму дописі у блозі Валотта зазначає, що М.Залевський та Ч.Джексон вже досліджували ймовірність попадання людини на клік-джек. За словами Валотти, це було успішним протягом 90 відсотків часу.
Не панікуйте занадто багато
Валотта визнає, що в його плані є кілька гикавок. Наприклад, фільтр Smartscreen від Microsoft може усунути подібні напади, як тільки вони повідомляються. Якщо прихованому виконуваному файлу потрібні права доступу адміністратора, тоді контроль доступу користувачів генерує ще одне попередження. Звичайно, Smartscreen не є надійним, і Валотта вирішує проблему UAC, запитуючи: "чи справді вам потрібні адміністративні пільги, щоб завдати серйозних збитків вашим жертвам?"
Як завжди, найпростішим способом уникнути нападу є не відвідування веб-сайту. Уникайте пропозицій щодо дивних завантажень і нестандартних посилань від людей. Також врахуйте, які вікна виділяються на екрані та натисніть текстові поля, перш ніж набирати текст. Ви також можете використовувати веб-переглядачі, вбудовані в підтримку блокування спливаючих вікон / популерів.
Якщо нічого іншого, це дослідження нагадує, що не всі вразливості є неохайним кодом або екзотичним зловмисним програмним забезпеченням. Деякі можна заховати в місцях, яких ми не очікуємо - наприклад, VoIP-телефони - або скористатися тим, що комп'ютери розроблені таким чином, щоб вони мали сенс для людей перед ними.