প্রধান টেকওয়ে
- একজন নিরাপত্তা গবেষক অত্যন্ত বিশ্বাসযোগ্য কিন্তু জাল একক সাইন-অন লগইন পপ-আপ তৈরি করার একটি উপায় তৈরি করেছেন৷
- জাল পপ-আপগুলি আরও আসল দেখানোর জন্য বৈধ URL ব্যবহার করে৷
- কৌতুকটি দেখায় যে লোকেরা একা পাসওয়ার্ড ব্যবহার করে তাদের শংসাপত্রগুলি শীঘ্রই বা পরে চুরি হয়ে যাবে, বিশেষজ্ঞরা সতর্ক করেছেন৷
ওয়েবে নেভিগেট করা প্রতিদিনই জটিল হয়ে উঠছে।
আজকাল বেশিরভাগ ওয়েবসাইট একটি অ্যাকাউন্ট তৈরি করার জন্য একাধিক বিকল্প অফার করে।আপনি হয় ওয়েবসাইটের সাথে নিবন্ধন করতে পারেন, অথবা Google, Facebook, বা Apple-এর মতো স্বনামধন্য কোম্পানিগুলির সাথে আপনার বিদ্যমান অ্যাকাউন্টগুলি ব্যবহার করে ওয়েবসাইটে লগ ইন করতে একক সাইন-অন (SSO) পদ্ধতি ব্যবহার করতে পারেন৷ একজন সাইবারসিকিউরিটি গবেষক এটিকে পুঁজি করে একটি নতুন পদ্ধতি তৈরি করেছেন যাতে আপনার লগইন শংসাপত্র চুরি করার জন্য একটি কার্যত সনাক্ত করা যায় না এমন জাল SSO লগইন উইন্ডো তৈরি করে৷
"SSO-এর ক্রমবর্ধমান জনপ্রিয়তা [মানুষদের] অনেক সুবিধা প্রদান করে," স্কট হিগিন্স, ডিসপারসিভ হোল্ডিংস, Inc-এর ইঞ্জিনিয়ারিং ডিরেক্টর লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন৷ "তবে, চতুর হ্যাকাররা এখন একটি বুদ্ধিমান উপায়ে এই পথের সুবিধা নিচ্ছে।"
ভুয়া লগইন
ঐতিহ্যগতভাবে, আক্রমণকারীরা হোমোগ্রাফ আক্রমণের মতো কৌশল ব্যবহার করে যা আসল ইউআরএল-এর কিছু অক্ষরকে একই রকমের অক্ষর দিয়ে প্রতিস্থাপন করে নতুন, হার্ড-টু-স্পট ক্ষতিকারক URL এবং নকল লগইন পৃষ্ঠা তৈরি করতে।
তবে, এই কৌশলটি প্রায়শই বিচ্ছিন্ন হয়ে যায় যদি লোকেরা সাবধানে URLটি পরীক্ষা করে। সাইবার সিকিউরিটি ইন্ডাস্ট্রি দীর্ঘদিন ধরে লোকেদের URL বার চেক করার পরামর্শ দিয়েছে যাতে এটি সঠিক ঠিকানার তালিকা দেয় এবং এর পাশে একটি সবুজ প্যাডলক থাকে, যা ওয়েবপৃষ্ঠাটি সুরক্ষিত বলে ইঙ্গিত দেয়৷
"এই সমস্ত কিছু অবশেষে আমাকে ভাবতে প্ররোচিত করেছে, 'ইউআরএল চেক করুন' উপদেশটি কি কম নির্ভরযোগ্য করা সম্ভব? এক সপ্তাহের বুদ্ধিমত্তার পরে আমি সিদ্ধান্ত নিয়েছি যে উত্তরটি হ্যাঁ," লিখেছেন বেনামী গবেষক যিনি ব্যবহার করেন ছদ্মনাম, mr.d0x.
আক্রমণ mr.d0x তৈরি করা হয়েছে, যার নাম ব্রাউজার-ইন-দ্য-ব্রাউজার (বিটবি), ওয়েব-এইচটিএমএল, ক্যাসকেডিং স্টাইল শীট (সিএসএস) এবং জাভাস্ক্রিপ্ট-এর তিনটি প্রয়োজনীয় বিল্ডিং ব্লক ব্যবহার করে জাল তৈরি করতে SSO পপ-আপ উইন্ডো যা মূলত আসল জিনিস থেকে আলাদা করা যায় না।
"ভুয়া URL বারে যা ইচ্ছা তা থাকতে পারে, এমনকি আপাতদৃষ্টিতে বৈধ অবস্থানগুলিও থাকতে পারে৷ উপরন্তু, জাভাস্ক্রিপ্ট পরিবর্তনগুলি এটিকে এমন করে তোলে যাতে লিঙ্কে ঘোরানো, বা লগইন বোতামটি একটি আপাতদৃষ্টিতে বৈধ URL গন্তব্যও পপ আপ করবে, " যোগ করা হয়েছে হিগিন্স পরীক্ষা করার পর মি. d0x এর প্রক্রিয়া।
BitB প্রদর্শনের জন্য, mr.d0x অনলাইন গ্রাফিক ডিজাইন প্ল্যাটফর্ম ক্যানভা-এর একটি জাল সংস্করণ তৈরি করেছে৷ যখন কেউ এসএসও বিকল্প ব্যবহার করে জাল সাইটে লগ ইন করতে ক্লিক করে, তখন ওয়েবসাইটটি বিটবি তৈরি করা লগইন উইন্ডোতে পপ আপ করে স্পুফড এসএসও প্রদানকারীর বৈধ ঠিকানা, যেমন গুগল, ভিজিটরকে তাদের লগইন শংসাপত্রগুলি প্রবেশ করতে প্রতারণা করার জন্য, যা হল তারপর হামলাকারীদের কাছে পাঠানো হয়।
এই কৌশলটি বেশ কিছু ওয়েব ডেভেলপারকে প্রভাবিত করেছে। "ওহ এটা বাজে: ব্রাউজার ইন দ্য ব্রাউজার (বিআইটিবি) অ্যাটাক, একটি নতুন ফিশিং কৌশল যা শংসাপত্র চুরি করার অনুমতি দেয় যা এমনকি একজন ওয়েব পেশাদারও সনাক্ত করতে পারে না," ওয়েব এবং মোবাইল ডেভেলপমেন্ট কোম্পানি মার্মেল্যাবের সিইও ফ্রাঙ্কোইস জানিনোত্তো, টুইটারে লিখেছেন৷
দেখুন কোথায় যাচ্ছেন
যদিও BitB রান-অফ-দ্য-মিল জাল লগইন উইন্ডোর চেয়ে বেশি বিশ্বাসযোগ্য, হিগিন্স কয়েকটি টিপস শেয়ার করেছে যা লোকেরা নিজেদের রক্ষা করতে ব্যবহার করতে পারে৷
শুরুদের জন্য, বিটবি এসএসও পপ-আপ উইন্ডোটি বৈধ পপ-আপের মতো দেখা সত্ত্বেও, এটি সত্যিই নয়৷ অতএব, আপনি যদি এই পপ-আপের ঠিকানা বারটি ধরেন এবং এটিকে টেনে আনার চেষ্টা করেন, তবে এটি মূল ওয়েবসাইটের উইন্ডোর প্রান্তের বাইরে যাবে না, একটি বাস্তব পপ-আপ উইন্ডোর বিপরীতে যা সম্পূর্ণ স্বাধীন এবং যেকোনো স্থানে সরানো যেতে পারে। ডেস্কটপের অংশ।
Higgins শেয়ার করেছেন যে এই পদ্ধতি ব্যবহার করে SSO উইন্ডোর বৈধতা পরীক্ষা করা মোবাইল ডিভাইসে কাজ করবে না।"এখানেই [মাল্টি-ফ্যাক্টর প্রমাণীকরণ] বা পাসওয়ার্ডবিহীন প্রমাণীকরণ বিকল্পগুলির ব্যবহার সত্যিই সহায়ক হতে পারে৷ এমনকি আপনি যদি বিটবি আক্রমণের শিকার হন, তবে [স্ক্যামাররা] অগত্যা [আপনার চুরি করা প্রমাণপত্র ব্যবহার] করতে সক্ষম হবে না একটি MFA লগইন রুটিনের অন্যান্য অংশ, " প্রস্তাবিত হিগিন্স৷
ইন্টারনেট আমাদের ঘর নয়। এটি একটি সর্বজনীন স্থান। আমরা কি পরিদর্শন করছি তা অবশ্যই পরীক্ষা করতে হবে৷
এছাড়াও, যেহেতু এটি একটি জাল লগইন উইন্ডো, তাই পাসওয়ার্ড ম্যানেজার (যদি আপনি একটি ব্যবহার করেন) স্বয়ংক্রিয়ভাবে শংসাপত্রগুলি পূরণ করবে না, আবার কিছু ভুল খুঁজে পেতে আপনাকে বিরতি দেবে৷
এটা মনে রাখাও গুরুত্বপূর্ণ যে যদিও BitB SSO পপ-আপ খুঁজে পাওয়া কঠিন, তবুও এটি একটি দূষিত সাইট থেকে চালু করা আবশ্যক৷ এইরকম একটি পপ-আপ দেখতে, আপনাকে ইতিমধ্যে একটি জাল ওয়েবসাইটে থাকতে হবে৷
এই কারণেই, সম্পূর্ণ বৃত্তে আসছেন, ভেড সিকিউর-এর চিফ টেক এবং প্রোডাক্ট অফিসার অ্যাড্রিয়েন জেন্ড্রে পরামর্শ দিচ্ছেন যে লোকেরা যখনই কোনও লিঙ্কে ক্লিক করেন তখনই URL গুলি দেখতে হবে৷
"যেভাবে আমরা দরজায় নম্বর চেক করি তা নিশ্চিত করার জন্য যে আমরা সঠিক হোটেল রুমে শেষ করেছি, একটি ওয়েবসাইট ব্রাউজ করার সময় লোকেদের সর্বদা URL গুলি দ্রুত নজর দেওয়া উচিত৷ ইন্টারনেট আমাদের বাড়ি নয়৷ এটি একটি পাবলিক স্পেস। আমরা কি পরিদর্শন করছি তা আমাদের অবশ্যই পরীক্ষা করতে হবে, " জোর দিয়েছেন জেন্ডার।