CyberYozh.com Курс по анонимности и безопасности в сети EN

Кража данных при помощи атаки web cache deception

В главе о защите от кражи личности я рассказывал о превентивных мерах, первая из которых - комплексная безопасность, включающая в себя не только защиту устройств, но и знания, навыки и привычки.

 Одна из таких привычек - проверка всех получаемых ссылок на предмет фишинга, для предотвращения ситуаций, когда злоумышленник вынуждает вас попасть на поддельный сайт вместо оригинального. Самый простой способ - это предложить вам fasebook.com вместо facebook.com. Данную подмену без проблем обнаружит любая система защиты от фишинга или ваша внимательность.

 Многие советуют обращать внимание на https сертификат, но я бы не переоценивал его значимость, на чёрном рынке за хорошие деньги можно получить на сайт для фишинга EV-сертификат, который браузеры выделяют зелёным цветом.

 Пример выше - детский уровень фишинга, основанный на социальной инженерии, но фишинг не был бы так опасен, если бы в его арсенале не было бы куда более эффективных методов. Обычно они основаны на различных уязвимостях и работают до момента их обнаружения разработчиками или исследователями, но до этого момента они работают с невероятной эффективностью.

 Одним из таких методов было использование unicode-символов, которые визуально похожи на латиницу, но для браузера, разумеется, это другие символы. В 2017 году исследователь Чжэн Сюдун зарегистрировал домен визуально неотличимый от apple.com, но на самом деле состоящий исключительно из unicode-символов. Данная атака была эффективна против пользователей браузеров Chrome, Firefox и Opera. На сегодняшний день проблема исправлена разработчиками браузеров. 

apple fake unicode

 Но есть атака значительно более эффективная описанной выше и до сих пор остающаяся невероятно опасной, это - web cache deception. Обнаружил ее в 2017 году Омер Гил - сотрудник израильской компании EY Hacktics Advanced Security Center. 

 Суть атаки очень проста: когда вы обращаетесь к сайту, и запрашиваете отсутствующий на нем контент, например, картинку или текстовый документ, сайт должен уведомить вас об отсуствии запрашиваемого контента 404-й ошибкой. Но иногда из-за некорректных настроек этого не происходит, в то же время сайт кэширует ваши данные.

 Лучше всего принцип атаки понятен на демонстрационном видео, где исследователь получает данные от своего аккаунта PayPal. На первом видео он показывает корректную ссылку на страницу настройки аккаунта PayPal. Затем переходит по ссылке на несуществующий файл, но сайт игнорирует часть ссылки и переводит его в настройки профиля PayPal. 

 Что же опасного в этом? То, что PayPal кэширует данные и повторный переход по этой ссылке злоумышленником позволял ему получить закэшированную страницу жертвы.

 На втором видео исследователь сначала переходит по ссылке с web cache deception и кэширует данные своего аккаунта PayPal. Затем он запускает браузер в режиме инкогнито, и, имитируя действия злоумышленника, переходит по той же ссылке, получая информацию с закэшированной ранее страницы.

 Компания PayPal за обнаруженную уязвимость выплатила исследователю $3000. Омер Гил проверил крупные сайты на уязвимость к данной атаке, на 10% проверенных сайтов удалось провести web cache deception.

 Если в случае PayPal атакующий при помощи атаки web cache deception мог только получить персональные данные, то во многих других случаях с помощью атаки удавалось получить доступ к аккаунту. Атака web cache deception может быть использована и для деанонимизации, так как в некоторых случаях кэшируется IP-адрес жертвы даже ее паспортные данные.

 Невероятная опасность web cache deception обусловлена двумя факторами: первый - пользователь открывает подлинный сайт, никаких подделок или подмен, второй - ему достаточно просто открыть сайт, никаких дополнительных действий от него не требуется. 

 

 Как защититься от web cache deception

Как минимум, знать о существовании данной атаки, если вам отправляют подозрительную ссылку знакомого сайта, вы переходите по ней, и попадаете на страницу с вашей приватной информацией (например, в личный кабинет), а повторная рабочая ссылка вам не скинута, вероятно, вы стали жертвой атаки web cache deception.

 Ссылки от незнакомых лиц всегда и в любом случае лучше открывать только в песочнице (хотя, если быть совсем честным, и от знакомых тоже). Популярные сайты, вроде Google, Facebook, PayPal проверены на устойчивость к данной атаке, но это не значит, что не появится новой похожей уязвимости, перед которой они окажутся беззащитны.

 

Совет

Ссылки от непроверенных лиц открывайте только в песочнице.

 
Злоумышленник получил доступ к компьютеру?

Присоединяйтесь к анонимному сообществу белых хакеров и
любителей анонимной и безопасной работы в сети.

Присоедениться

© 2018. WebGears Services Ltd. All rights reserved