Video: You've been training AI for free (Oktober 2024)
Vi snakker mye om eksotiske malware-angrep og uklar sikkerhetsproblemer her på SecurityWatch, men et angrep kan dra nytte av noe så grunnleggende som hvordan vinduer vises på skjermen din. En forsker har demonstrert en teknikk der ofre blir lurt til å kjøre malware bare ved å trykke på bokstaven "r."
Sent i forrige måned skrev forsker Rosario Valotta et innlegg på hjemmesiden sin der han skisserte et angrep bygget rundt "misbruk av nettleserens brukergrensesnitt." Teknikken gjør bruk av noen quirks i nettlesere, med bare en smule sosialteknikk kastet inn.
Angrepet
Det blir kalt "keyjacking", etter clickjacking-teknikken der ofre blir lurt til å klikke på et objekt som genererer uventede svar. I Valottas eksempel besøker du et ondsinnet nettsted og en automatisk nedlasting begynner. I Internet Explorer 9 eller 10 for Windows 7 utløser dette et altfor kjent dialogvindu med alternativene for å kjøre, lagre eller avbryte.
Her kommer trikset: angriperen setter nettstedet til å skjule bekreftelsesvinduet bak en webside, men holder bekreftelsesvinduet i fokus. Nettstedet ber brukeren trykke på bokstaven "R", kanskje ved hjelp av en captcha. Et blinkende markør-gif på nettstedet får brukeren til å tenke at hans eller hennes tastetrykk vil vises i den falske captchas dialogboks, men den blir faktisk sendt til bekreftelsesvinduet der R er snarveien for Run.
Angrepet kan også brukes i Windows 8, med det sosialtekniske aspektet modifisert for å lokke offeret til å treffe TAB + R. For dette foreslår Valotta å bruke et testtestspill.
For alle oss Chrome-brukere der ute, har Valotta funnet ut et annet triks som ligger i den tradisjonelle clickjacking-vene. I dette scenariet går offeret til å klikke på noe bare for å få det til å forsvinne i siste sekund og klikkregisteret i et vindu under.
"Du åpner et popunder-vindu ved noen spesifikke skjermkoordinater og legger det under forgrunnsvinduet, og starter deretter nedlastingen av en kjørbar fil, " skriver han. Et vindu i forgrunnen ber brukeren klikke - kanskje for å lukke en annonse.
"Angriperen, ved å bruke noen JS, er i stand til å spore musepekerkoordinater, så så snart musen svever på knappen, kan angriperen lukke forgrunnsvinduet, " fortsetter Valotta. "Hvis timingen er passende, er det gode sjanser for at offeret klikker på underliggende popunder-varslingslinje, så faktisk lanserer den kjørbare filen."
Den skumleste delen av dette angrepet er sosialteknikken. I sitt blogginnlegg påpeker Valotta at M.Zalewski og C.Jackson allerede har forsket på sannsynligheten for at en person faller for klikking. I følge Valotta var det vellykket over 90 prosent av tiden.
Ikke få panikk for mye
Valotta innrømmer at det er noen få hikke etter planen hans. For det første kan Microsofts Smartscreen-filter luke ut denne typen angrep når de først er rapportert. Hvis den skjulte kjørbare filen krever administratorrettigheter, vil brukertilgangskontroll generere en annen advarsel. Selvfølgelig er Smartscreen ikke idiotsikker, og Valotta tar opp UAC-problemet ved å spørre: "trenger du virkelig administrative rettigheter for å forårsake alvorlige skader på dine ofre?"
Som alltid er den enkleste måten å unngå angrepet ved å ikke gå til nettstedet. Unngå tilbud for rare nedlastinger og ikke-blå blå lenker fra folk. Legg også merke til hvilke vinduer som er uthevet på skjermen, og klikk på tekstfelt før du skriver. Du kan også bruke nettleseres innebygde støtte for popup / popunderblokkering.
Hvis ikke annet, er denne forskningen en påminnelse om at ikke alle sårbarheter er slurvet kode eller eksotisk skadelig programvare. Noen kan være skjult på stedene vi ikke forventer - som VoIP-telefoner - eller dra nytte av det faktum at datamaskiner er designet for å være fornuftige for menneskene foran dem.
