Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ultra sprytna kampania infekowania rozszerzeń do Chrome. Kradną hasła / ciasteczka / inne dane użytkowników. Omijają 2FA.
Ofiarą padła między innymi firma z obszaru cyberbezpieczeństwa – Cyberhaven (tutaj szczegóły całego incydentu).
OK, ale jak się „infekuje rozszerzenie do Chrome”? No więc np. tak:
1. Phishing na pracownika:
2. Phishing był o tyle sprytny, że prowadził do prawdziwej strony logowania Google. Tylko że po zalogowaniu się pojawiało się okno o „nadaniu uprawnień” do zewnętrznej aplikacji (tj. appki atakującego). Pracownik machinalnie kliknął przycisk 'OK’ znany też jako: 'spadać mi z tym okienkiem, mam robotę do zrobienia’ ;)
3. Pracownik miał też w Google włączone 2FA oraz Google Advanced Protection.
I co z tego? Powtarzam, logowanie było na *prawdziwe konto Google* – atakujący nie wykradali danych logowania, ale skłonili pracownika do nadania szerokich uprawnień (do swojego konta) zewnętrznej appce należącej do atakujących.
4. Opublikowanie nowej-złośliwej wersji rozszerzenia
5. Rozszerzenie przeszło security review od Google ❗
6. Liczenie na to, że część użytkowników będzie miała automatycznie zaktualizowane przeglądarki / rozszerzenia
Efekt? Kradzież np. ciasteczek / zalogowanych sesji ofiar. Oznacza to, że nawet jeśli ktoś posiada 2FA (dwuczynnikowe uwierzytelnienie), to i tak można się dostać na jego konto!):
For browsers running the compromised extension during this period, the malicious code could have exfiltrated cookies and authenticated sessions for certain targeted websites.
Całość to element większej kampanii, celującej w różne rozszerzenia Chrome. Monetyzacja następowała najpewniej przez uruchamianie scam-reklam na przejętych kontach FB.
Na koniec garść rad.
✅ Warto minimalizować liczbę rozszerzeń w swojej przeglądarce
✅ Warto wiedzieć, że nawet jeśli mamy 2FA, to niektóre ataki są w stanie to ominąć
✅ Czytaj ewentualne komunikaty pojawiające się po logowaniu i nie klikaj machinalnie 'OK’ na wszystko co Cię irytuje ;)
✅ Żadne 'mechanizmy bezpieczeństwa’ nie zwolnią Cię z myślenia!
✅ Warto od czasu do czasu sprawdzać czy nasze konto Google / FB / TT / … nie posiada zautoryzowanych 'zewnętrznych aplikacji’
✅ Edukuj o takich tematach znajomych
~ms
> Warto od czasu do czasu sprawdzać czy nasze konto Google / FB / TT / … nie posiada zautoryzowanych 'zewnętrznych aplikacji’
Może jakiś tutorial jak to zrobić :), mam tylko konto Google, ale nie bardzo wiem gdzie patrzeć :(
Dla Google: https://support.google.com/accounts/answer/13533235?hl=en
problem usunąc adresy email z rozserzen – tak co 4 miesiace dostaje propozycje sprzedania mojego rozserzenia
Ile oferują?
A można jeszcze raz, ale po polsku?
Tylko wtedy trzeba by uruchomić panel zgłoszeń błędów (by nie wyjść na buca, gdy rozszerzenie jest pod społeczność) i pomocy technicznej (gdy dodatek jest zbyt zaawansowany).
Ten od Google może się nie nadawać (nie chodzi mi o sekcję komentarzy dodatku z oceną w gwiazdkach).
Nie jestem informatykiem więc pewnie się mylę (i proszę o wyjaśnienie) ale jeśli przeglądarki zbierają o nas tyle danych (rozmiar ekranu, system operacyjny, języki etc.) i ktoś próbuje przejąć naszą sesję za pomocą wykradzionego ciasteczka to taki atak powinien być łatwy do zablokowania (ta sama sesja a zmienia się komputer) i powinno pojawić się żądanie podania kodu weryfikacyjnego.
Poza tym, nawet w przypadkach kradzieży hasła jednorazowego, jeśli złodziej chce zmienić hasło do naszego konta strona mogłaby wymagać podania trzech haseł jednorazowych dla potwierdzenia naszej tożsamości.
zbieranie danych nie ma nic do kradzieży ciastek.
ktoś kto jest w stanie pobrać naszą zalogowaną aktualnie sesję cookies w jakiś sposób ma już dostęp do naszego PC jeżeli jesteś akurat zalogowany do banku to strona banku myśli że to ty, mogło by przed tym zabezpieczyć agent/fingerprint przeglądarki ale to tylko po stronie banku.