איך אתם בודקים שאתר המבקש פרטי התחברות הינו לגיטימי? בודקים שהקישור נכון? בודקים שאין שגיאות כתיב מכוונות (gooogle במקום google) בקישור? מוודאים שהחיבור מאובטח ב- HTTPS? משתמשים בתוסף המוודא שקישורים חוקיים \ לגיטימיים?
מה אם נגיד לכם שזה לא מספיק?
חברת ניהול הסיסמאות Myki חשפה שיטת דיוג (פישינג) חדשה. התוקפים מפנים משתמשים לבלוגים ו\או אתרים עם כתבות, ומבקשים מהגולשים להתחבר באמצעות פייסבוק ע"מ להציג את הכתבה. כידוע, לאפשרות ה- "התחבר באמצעות פייסבוק" יש 2 אפשרויות:
- לאחר הלחיצה תופנו לאתר פייסבוק להתחברות, ולאחר ההתחברות תופנו בחזרה לאתר השולח.
- יוצג לכם דיאלוג "פופ-אפ" להתחברות.
מתקפת הדיוג החדשה מנצלת את האפשרות השנייה, ומציגה לכם, לכאורה, דיאלוג "פופ-אפ" לגיטימי לחלוטין ל- "התחבר דרך פייסבוק", הכולל כתובת חוקית של האתר, סימון חיבור מאובטח (HTTPS) ואף תוסף אימות לא מזהה שום דבר פסול. גולשים יכולים לגרור את חלון הפופ-אפ, לסגור אותו ולבצע כל אינטראקציה ככל חלון פופ-אפ אחר.
התוקפים בעצם יצרו חלון שיושב בתוך האתר והוא העתק מושלם של פופ-אפ ההתחברות של פייסבוק, מבלי ליצור כל קשר עם האתר עצמו. בצורה זו התוקפים יכולים לגנוב את פרטי ההתחברות, שכן פרטי ההתחברות מוזנים ישירות ע"י הגולשים לאתר התוקפים עצמו.
ע"מ לזהות שמדובר בחלון פופ-אפ לגיטימי, יש לנסות לגרור את החלון עצמו מחוץ לדף (לדוגמא, לנסות לגרור את החלון מחוץ לגבולות המסך, ולראות שחלק ממנו נעלם), שכן מסגרות מוגבלות לתחומי הדף עצמו, ולא יכולים "לצאת" ממנו, בניגוד לפופ-אפים שהם חלונות דפדפן חדשים העומדים בפני עצמם (כמובן שניתן גם לעשות Inspect).
סרטון הדגמה:
בנוסף – נמליץ בחום רב להשתמש באפשרויות ה- Two-Factor authentication.
