Новий фішинговий трюк з SSO обманює навіть обережних користувачів

Кібербезпека
4 хв. читання
Новий фішинговий трюк обманює навіть обережних користувачів SSO

Система Single Sign-On (SSO) стала невід’ємною частиною нашого цифрового життя. Кнопки «Увійти через Google» або «Продовжити з Microsoft» здаються зручними та безпечними, адже ми довіряємо великим технологічним компаніям. Проте кіберзлочинці знайшли спосіб використати цю довіру проти нас самих.

Зміст

Нова фішингова схема експлуатує саме нашу звичку швидко натискати на знайомі кнопки SSO, не перевіряючи деталей. Це робить вразливими навіть досвідчених користувачів, які зазвичай уважні до підозрілих посилань та електронних листів.

Як працює фішинг через Single Sign-On

Класичний фішинг легко розпізнати: підозрілі домени, граматичні помилки, дивні посилання. Але атаки на SSO використовують легітимні сторінки входу Google, Microsoft або інших провайдерів. Зловмисники створюють фальшиві сайти, які імітують популярні сервіси, а потім інтегрують справжні SSO-кнопки.

Коли ви натискаєте «Sign in with Google» на такому сайті, ви дійсно потрапляєте на автентичну сторінку входу Google. Ви вводите свої облікові дані, проходите двофакторну автентифікацію, і все виглядає абсолютно легітимно. Проблема виникає після успішного входу.

- Advertisement -

Фішинговий сайт отримує токен доступу від Google, який дозволяє йому діяти від вашого імені. Залежно від того, які дозволи запитує шахрайський додаток, він може отримати доступ до вашої електронної пошти, контактів, файлів у хмарному сховищі або навіть можливість відправляти повідомлення від вашого імені.

Чому навіть обережні користувачі потрапляють у пастку

Ця техніка ефективна з кількох причин. По-перше, ви справді взаємодієте з легітимним сайтом Google або Microsoft, тому всі звичні ознаки безпеки присутні: правильний домен, валідний SSL-сертифікат, знайомий інтерфейс.

По-друге, SSO створено для швидкості та зручності. Ми звикли натискати ці кнопки не замислюючись, особливо коли поспішаємо. Саме цю автоматичну поведінку і експлуатують зловмисники.

По-третє, після входу через SSO користувачі рідко звертають увагу на те, які саме дозволи запитує додаток. Сторінка з дозволами від Google виглядає офіційно, і багато людей просто натискають «Дозволити», не читаючи деталей.

Як захистити себе від SSO-фішингу

Незважаючи на витонченість цієї атаки, захист від неї дивовжайно простий. Ключ — у паузі та уважності перед використанням Single Sign-On на незнайомих сайтах.

Перевіряйте, куди ви входите. Перш ніж натискати кнопку SSO, переконайтеся, що ви довіряєте сайту, на якому перебуваєте. Перевірте URL-адресу в браузері та оцініть, чи виглядає сайт легітимним.

Читайте запити дозволів. Коли Google, Microsoft або інший провайдер SSO показує сторінку з переліком дозволів, які запитує додаток, уважно їх прочитайте. Якщо простий сайт з іграми запитує доступ до вашої електронної пошти та контактів — це червоний прапорець.

Використовуйте SSO вибірково. Не потрібно входити через Google або Microsoft на кожному сайті. Для менш важливих сервісів краще створити окремий обліковий запис з унікальним паролем.

- Advertisement -

Регулярно перевіряйте підключені додатки. Більшість провайдерів SSO дозволяють переглядати список додатків, які мають доступ до вашого облікового запису. Періодично переглядайте цей список та відкликайте доступ для незнайомих або непотрібних сервісів.

  • Google: перейдіть до налаштувань облікового запису Google та виберіть розділ «Безпека», потім «Сторонні додатки з доступом до облікового запису»
  • Microsoft: відвідайте сторінку облікового запису Microsoft та знайдіть розділ «Конфіденційність» з переліком підключених додатків
  • Apple: у налаштуваннях Apple ID перевірте розділ «Безпека» для перегляду додатків, що використовують Sign in with Apple

Простота як найкращий захист

Іронія ситуації полягає в тому, що хоча ця фішингова техніка використовує сучасні технології автентифікації, захист від неї базується на старих добрих принципах безпеки: не поспішайте, будьте уважні та скептичні.

Single Sign-On залишається зручним та відносно безпечним способом входу, особливо коли він використовується на перевірених платформах. Проблема виникає, коли ми дозволяємо зручності повністю замінити пильність. Кілька секунд на перевірку того, куди ви входите та які дозволи надаєте, можуть врятувати вас від серйозних наслідків компрометації облікового запису.

Пам’ятайте: зловмисники розраховують на вашу поспішність та довіру до знайомих брендів. Не дайте їм цієї переваги.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

ТЕМИ:
Поділитися
Попередня стаття Джейлбрейк iPhone: інструмент дослідника чи загроза безпеці Джейлбрейк iPhone: інструмент дослідника чи загроза безпеці
Наступна стаття Google Translate отримав можливості штучного інтелекту Gemini Google Translate отримав можливості штучного інтелекту Gemini

В тренді

Як перевірити шифрування в Google Повідомленнях
Як перевірити шифрування в Google Повідомленнях
Диференційна приватність: від нішевого інструменту до стандарту захисту даних у добу ШІ
Диференційна приватність: від нішевого інструменту до стандарту захисту даних у добу ШІ
Meta вводить нові інструменти захисту від шахрайства для Facebook та WhatsApp
Meta вводить нові інструменти захисту від шахрайства для Facebook та WhatsApp
ШІ-чатботи підштовхують користувачів до нелегальних азартних ігор — розслідування
ШІ-чатботи підштовхують користувачів до нелегальних азартних ігор — розслідування
OpenAI випустила Codex Security для виявлення вразливостей у корпоративному програмному забезпеченні
OpenAI випустила Codex Security для виявлення вразливостей у корпоративному програмному забезпеченні

Рекомендуємо