单点登录(SSO)是一种身份验证方法,可帮助人们在不需要密码的情况下登录各种在线帐户,它可以被欺骗,使威胁参与者能够窃取登录凭据或多因素身份验证(MFA)密钥。
一位名叫mr.d0x的网络安全研究人员在GitHub上发布了一个模板,该模板使用浏览器中的浏览器(BitB)攻击方法在真实的浏览器窗口中创建一个虚假的浏览器窗口。该模板适用于Windows和Mac版Chrome,适用于浅色和深色主题。
过去也有类似的方法,主要区别现在是一个广泛可用的模板,威胁参与者现在可以简单地下载、编辑他们喜欢的内容,并使用iframe显示。
浏览器接收
SSO提示通常以弹出窗口的形式出现,人们只需选择他们已有的帐户之一即可登录帐户,这些帐户可以是Google、Facebook、Twitter或类似帐户。
在接受BleepingComputer采访时,mr.d0x说这些模板“使用简单”,而且很有说服力。他补充说,攻击者还可以将登录表单的HTML直接添加到模板中,并进一步说明在这种情况下,攻击者需要如何将表单与CSS和HTML正确对齐。
有些人已经对其进行了测试,称他们成功地对其进行了调整以窃取MFA密钥。
网络钓鱼是当今最常见的网络攻击类型之一。它们本质上是一种骗局尝试,因为受害者需要通过下载恶意附件或访问他们将提交凭据的恶意网站来危害自己。
威胁行为者通常会使用电子邮件,试图“引诱”人们犯错,并经常警告受害者需要紧急解决的“问题”。
联系电话: