Kibernetinio saugumo tyrėjai aptiko atakos būdą, kuomet žmonėms siūloma prie kokios nors paslaugos jungtis per socialinio tinklo „Single Sign-on“ funkciją, tačiau vietoj automatinio prijungimo paprašoma įvesti prisijungimo vardą ir slaptažodį.
„Single Sign-on“ (SSO) – tai funkcija, leidžianti žmonėms savo socialinio tinklo paskyrą naudoti kaip prisijungimo prie savo paskyros kitoje svetainėje priemonę. SSO funkcionalumą naudoja „Facebook“, „Google“, „LinkedIn“ ir „Twitter“. Ji vartotojui suteikia galimybę ne kurti naują paskyra su nauju prisijungimo vardu ir slaptažodžiu, o naudotis jau turima paskyra – taip smarkiai sumažinamas slaptažodžių, kuriuos reikia prisiminti, kiekis. Be to ir svetainių kūrėjams taip paprasčiau – vietoj sudėtingos slaptažodžių valdymo ir vartotojų identifikacijos sistemos kūrimo pakanka panaudoti kurio nors iš socialinių tinklų SSO įskiepį. Kriptografiniai ir saugumo mechanizmai, kurie išoriškai nėra matomi, leidžia prisijungti prie svetainės šiai net nesužinant vartotojo vardo ir slaptažodžio kombinacijos.
Slaptažodžių valdymo paslaugos „Myki“ saugumo tyrėjai neseniai aptiko interneto svetainę, kuri apsimestinai siūlė SSO prisijungimą per „Facebook“. Kaip matoma jų sukurtame vaizdo įraše, prisijungimo langas atrodo identiškas tikram „Facebook“ SSO. Bet vienintelis šį „prisijungimo“ įrankį su „Facebook“ siejantis dalykas – tai išvaizda. Jokio prisijungimo toks langas nevykdo ir vienintelis jo tikslas – vogti prisijungimo duomenis.
Ši apgavystė yra itin efektyvi dėl to, kad jos kūrėjai pasistengė sukurti tokį prisijungimo langą, kuris bemaž idealiai atitinka tai, ką vartotojas gali tikėtis pamatyti besijungdamas per tikrą „Facebook“ SSO. Tinkamose vietose yra ir būklės eilutė, ir valdymo juosta, ir šešėliai, ir net „Facebook“ adresas, prasidedantis raidėmis HTTPS.
Skirtumas tas, kad šis prisijungimo langas vartotojui pateikiamas ne aktyvavus tikrą prisijungimo per „Facebook“ dialogą, o vykdant HTML programinį bloką, esantį pačios svetainės kode. Todėl viskas, ką įrašytumėte į tokį langelį, keliauja ne į „Facebook“ tarnybines stotis šifruotu pavidalu, o programišiams, atviru tekstu.
Ir nors toks apgavystės būdas atrodo labai įtikinamai, yra viena galimybė jį atskirti nuo tikro prisijungimo dialogo. Tikrą „Google“ ar „Facebook“ SSO prisijungimo langelį galima pele ištempti už svetainės lango, kuriame vykdomas prisijungimas, ribų be jokios žalos prisijungimo procesui ar prisijungimo langelio išvaizdai. Tuo tarpu programišių sukurtas langelis, bandant jį iškelti už pagrindinio naršyklės lango ribų, „apsikarpo“ ties lango pakraščiu.
Antras požymis – padirbtame prisijungimo langelyje neįmanomas automatinio prisijungimo rekvizitų užpildymo funkcionalumas, todėl vartotojo vardą ir slaptažodį būtina įvesti rankiniu būdu.
Pažangesni vartotojai galėtų pastebėti klastą peržiūrėję svetainės programinį kodą.
Toks įtikinamas apgavystės būdas yra dar vienas priminimas, kad kibernetiniai vagys tobulėja, o taip pat – ženklas, kad visose svarbiose paslaugose, kurios tokią galimybę siūlo, būtina naudoti dviejų veiksnių autentifikavimo procesą. Pavyzdžiui, programišiams, gavusiems jūsų „Facebook“ ar „Google“ prisijungimo duomenis iš jų būtų nedaug naudos, nes norint pirmą kartą prisijungti iš naujo įrenginio šios paslaugos į vartotojo įrenginį gali siųsti žinutę su patvirtinimo kodu.
