OAuth認証(各種Webサービスにおける「Googleアカウントでログイン」)、悪用が簡単だった [787645228]
■ このスレッドは過去ログ倉庫に格納されています
「Googleでログイン」「Facebookでログイン」などのOAuth認証を模倣してパスワードを盗み出す手口が考案される 2022年03月22日
ウェブサービスの中には、サインインの際にGoogleやFacebookといった他サービスのアカウントを用いる「OAuth認証」が可能なものも存在しています。
このOAuth認証ページを模倣することでパスワードやIDを盗み出す手口が考案されました。
OAuth認証は、他のウェブサービスの登録情報を利用してウェブサービスへのサインインを可能とするものです。
(しかし)、このような偽物(画像参照↓)のページを偽物のウェブサイトに埋め込むことで、ユーザーは疑わずに資格情報を入力してしまう可能性があるとのこと。
この手口は過去にSteamの資格情報を盗もうとするフィッシングサイトで用いられたことも確認されています。
mr.d0x氏(この件を報告した人物)はこの手口を「Browser In The Browser(BITB)攻撃」と名付け、
「わずかな違いに気付く人はほとんどおらず、基本的に本物と区別できなくなります」と述べています。
https://gigazine.net/news/20220322-oauth-phishing-site/
https://i.gzn.jp/img/2022/03/22/oauth-phishing-site/real-fake-b3c219e9874e9baca7a0eb6da39d693c-d438a.png いや使い回し&自分からIDパス全渡しとかバカ以外に引っかかるか? 真面目な話URL見る癖付けないとこういうの避けきるの不可能ぞ あーここに至るまでの偽サイトがあるってことか
普通のフィッシングやんけ いや、偽物とかそう言う話じゃないのわかる?
そもそも教えなくていいとこにわざわざ教えるとかゆとりとまんこと年寄りだけだって話だけだからどうでもいいがw ログイン画面がポップアップしたとみせかけてブラウザの画面ごと真似した偽物をページの上に表示するんだとさ
馬鹿らしい手口だがまぁ引っかかるだろうな ブラウザにパス覚えさせてるから逆に安全だわ
Yahoo, Microsoft, Facebookとか登録済みのはずなのにオートコンプリートされないのはURLが怪しいはず >>7
元解説によると、URLバーや閉じるボタン最大化ボタンも含めて描画した新規のポップアップウィンドウを作ってる
OAuth認証が大体新規ウィンドウで開くのを真似てるんだね
怪しいサイトに行かない、リンクを開かないを徹底すればそもそもこんな新規ウィンドウが作られることもないけどね
しかしgigazineは相変わらず重要なことを書かねーな そういや大手は新しくウィンドウ開いて認証が多いような
リダイレクトじゃダメなん? win+tabとかexposeで本物のウインドウかチェックしない限りわからんってことか でもこれしょうもない広告で昔からやってるやついたよな
ストレージの残り容量がありませんみたいなシステムポップアップっぽいデザインのバナー Googleアカウントでログインする
新規アカウントをメールアドレスで作る
こう選択肢があったら迷わずメアドで作るわ
どこでどう漏れるか分からんから >>2
>falseを返すonclickイベントが追加された場合、リンクにカーソルを合わせると、href属性にWebサイトが引き続き表示されますが、リンクがクリックされた場合、href属性は無視されます。この知識を使用して、ポップアップウィンドウをよりリアルに表示できます。
やばくねこの仕様🥺 よくわからんけどスクリプト駆使して本物っぽく偽装してるのか Googleでログインとか使ったことないな
あれ何のメリットがあるんや? ドメインが一致してたらブラウザが勝手にパスワード入れるから
パスワードが自動入力されなければフィッシングサイトって簡単に解るだろ ただのフィッシングじゃん
Oauthは悪くない、引っかかるガイジが悪い >>34
結局遷移先でURLは分かるんだから大した問題じゃないという判断だろうけど
この攻撃とは相性抜群だな >>19
すごくわかりやすかった
このギガジンってサイトはガキがやってるんかね? 基本oauth対応してないところのアカウントは作らないや。パスワード管理だるいし
とはいえ怪しいサイトで使おうとは思わんけど これずっと安全な仕組みがよくわからなかったから一度たりとも使ってないわ こんな認証してるやつおるんかってのと、こんなん引っかかるやつおるんか >>19
どっちもfacebook.comじゃんと思ったら1個は絵なんか… 要するにフィッシングサイトにIDPW入れちゃうのと同じって話じゃん たまにOAuthでログインさせといて、さらにそのサイトのパスワードも設定させるところがあってクソだと思う urlのところがそれっぽい描画してるだけならそこに文字入力できるかどうかで判断できそうだな >>55
独自テキストボックスだろうから入力はできるだろ
URL欄ではないだけで 怪しいサイトがOAuthに対応してる振りしてフィッシングするって事?
自分のユーザーのOAuth先のアカウントを掠めとるとか信用もへったくれもないが ポップアップって普段のUIと違うよな
あれは確かに混乱する >>19
URLバーの無いポップアップを止めればいいんやね >>58
githubでソースコード見たけど文字列表示してるだけだから入力もなにもない
BITBはあまりに陳腐すぎて誰もやらないだろっていうのを本当にやってみた感が強い >>63
href tagのonclickが発火条件であまりに処理が不審すぎるから普通に気付くと思うよ 将棋倒しになると怖いから
アカウントはサービスごとに作ってパスワードも異なるものにしてる 【版権禁止】絵を描いてうpしてリメイクし合うスレXX2
http://おーぷん.おーぷん2ch.net/test/read.cgi/oekaki/1592032957/
おーぷん=open
>>19
大手サイトもポップアップによるSNS認証は多い パスワードマネージャはURLを判別して起動するから
いつもなら使えるパスワード自動入力ができなくなる
だいたいそこで気づくやろ あんま関係ないけどLINEとかFB Messengerに届いたURLやボタンをクリックしてログインするタイプのってセッションないしなりすまし検知できなくね?
時間制限付きのトークンでごまかすとかしか出来ないけどこれいいのか ■ このスレッドは過去ログ倉庫に格納されています