
Menedżery haseł zostały zaprojektowane z myślą o ochronie haseł i poufnych danych, ale mogą być również wykorzystywane do ataków, umożliwiając atakującym dostęp do tych informacji. Nowo odkryta metoda clickjackingu oparta na DOM może oszukać niektóre menedżery haseł i automatycznie wypełniać dane uwierzytelniające w złośliwych formularzach. Poniżej wyjaśniamy, jak działa ten atak i jak można wzmocnić swoje zabezpieczenia.
Zrozumienie podatności menedżerów haseł
Najnowsze odkrycia wskazują na lukę w zabezpieczeniach modelu DOM (Document Object Model), która umożliwia atak typu clickjacking, umożliwiając cyberprzestępcom dyskretne uruchomienie funkcji automatycznego wypełniania w menedżerach haseł. Może to prowadzić do kradzieży poufnych danych, takich jak hasła, kody TOTP/2FA i dane kart kredytowych. Mechanizm tego ataku przedstawia się następująco:
- Użytkownik trafia na stronę internetową kontrolowaną przez atakującego, na której znajduje się pozornie nieszkodliwy klikalny element, na przykład baner zgody na pliki cookie lub wyskakujący przycisk zamknięcia.
- Wykorzystując sztuczki związane z widocznością DOM, atakujący umieszcza niewidoczny formularz nad legalnym elementem klikalnym, ustawiając
opacity:0
. - Po kliknięciu menedżer haseł użytkownika automatycznie wypełnia ukryty formularz zapisanymi danymi uwierzytelniającymi, umożliwiając cyberprzestępcom ich przechwycenie.
Cała ta operacja odbywa się po cichu, często bez wiedzy użytkownika, że jego dane zostały naruszone. Niedawne badanie objęło 11 wiodących menedżerów haseł, sugerując, że większość z nich z funkcją autouzupełniania jest podatna na ataki. W odpowiedzi na te ustalenia, kilka menedżerów haseł wydało aktualizacje z monitem o potwierdzenie autouzupełniania, jednak wiele z nich nadal jest narażonych na ataki.
Jednak większość tych poprawek działa jako tymczasowe rozwiązania, które nie rozwiązują podstawowego problemu tkwiącego w procesach renderowania stron internetowych w przeglądarkach. Jak podkreśla 1Password, „sedno problemu tkwi w sposobie renderowania stron internetowych przez przeglądarki; uważamy, że kompletne rozwiązanie techniczne nie może być zapewnione wyłącznie za pomocą rozszerzeń przeglądarek”.
Aby zminimalizować ryzyko związane z atakami typu clickjacking, oprócz regularnej aktualizacji rozszerzenia menedżera haseł, należy stosować się do poniższych najlepszych praktyk.
Dezaktywuj funkcję automatycznego uzupełniania w Menedżerze haseł
Ponieważ autouzupełnianie jest główną funkcją wykorzystywaną w tego typu atakach, wyłączenie tej funkcji może znacznie zwiększyć bezpieczeństwo. Zamiast automatycznego wypełniania pól, będziesz musiał/a uzupełniać je ręcznie, klikając odpowiedni przycisk w razie potrzeby.

Aby wyłączyć autouzupełnianie, przejdź do ustawień rozszerzenia menedżera haseł i znajdź przełącznik pod sekcją „Autouzupełnianie i zapisywanie”. Wyłącz autouzupełnianie, gdy hasło jest aktywne, aby uniknąć automatycznego wprowadzania danych.
Konfiguruj rozszerzenia dla dostępu po kliknięciu lub określonego dla witryny
Większość przeglądarek pozwala skonfigurować rozszerzenia tak, aby aktywowały się wyłącznie na określonych stronach internetowych lub tylko po ręcznej aktywacji za pomocą ikony rozszerzenia. Ustawiając te parametry, można skutecznie zabezpieczyć się przed niechcianymi działaniami autouzupełniania w witrynach przeznaczonych do ogólnego przeglądania.
Odwiedź stronę rozszerzeń przeglądarki, a następnie uzyskaj dostęp do szczegółów menedżera haseł. Poszukaj sekcji „Dostęp do witryn”, zazwyczaj ustawionej domyślnie na „Wszystkie witryny”.Zmień to na „Po kliknięciu” lub określ wybrane witryny. Wybranie opcji „ Po kliknięciu” ogranicza aktywację do kliknięcia ikony, natomiast „ W określonych witrynach” umożliwia ją tylko w predefiniowanych witrynach.

Wybieraj aplikacje na komputery stacjonarne lub urządzenia mobilne zamiast rozszerzeń przeglądarki
Ponieważ ataki typu clickjacking koncentrują się głównie na rozszerzeniach przeglądarki, wykorzystanie natywnych aplikacji menedżera haseł na komputerze lub urządzeniu mobilnym może zmniejszyć podatność na ataki. Aplikacje te zazwyczaj oferują proste opcje wyszukiwania i kopiowania, usprawniając ręczne wprowadzanie danych.
Po uzyskaniu dostępu do strony logowania wystarczy wyszukać swoje dane uwierzytelniające w aplikacji do zarządzania hasłami i skorzystać z funkcji kopiowania, aby ułatwić sobie wprowadzanie.
Użyj rozszerzenia blokującego skrypty
Wiele ataków typu clickjacking opiera się w dużej mierze na skryptach działających na stronie internetowej, dlatego blokery skryptów stanowią skuteczną linię obrony. Chociaż blokowanie JavaScriptu może zapobiec tym atakom, zalecamy szersze podejście, blokując wszystkie skrypty w niezaufanych domenach, aby zapewnić optymalne bezpieczeństwo.

NoScript to solidne rozszerzenie, które zaspokaja tę potrzebę, dostępne zarówno dla przeglądarek Chrome, jak i Firefox. Automatycznie blokuje różne formy aktywnych skryptów, w tym JavaScript, umożliwiając selektywne włączanie skryptów w zaufanych witrynach.
Dodatkowa wskazówka: Zwiększ bezpieczeństwo konta
Aby uchronić się przed kradzieżą danych uwierzytelniających, kluczowe jest wdrożenie dodatkowych środków bezpieczeństwa. Zdecydowanie zaleca się uwierzytelnianie dwuskładnikowe (2FA); należy jednak polegać na solidnej metodzie 2FA wykraczającej poza weryfikację SMS, która często jest narażona na ataki. Metoda TOTP to dobry punkt wyjścia, ale należy upewnić się, że aplikacja uwierzytelniająca znajduje się na innym urządzeniu. Dodatkowo, rozważ użycie kluczy dostępu lub sprzętowych kluczy bezpieczeństwa dla jeszcze silniejszej ochrony.
Aby ograniczyć potencjalne luki w zabezpieczeniach, unikaj nadmiernego polegania na automatycznych rozwiązaniach logowania. Chociaż może to wymagać dodatkowych kroków, ta drobna niedogodność znacząco zwiększa bezpieczeństwo, szczególnie jeśli przechowujesz w menedżerze haseł obszerne poufne informacje.
Dodaj komentarz