Ukradli Twoje hasło Google? Nowy atak w trybie kiosk!

Niebezpieczeństwa związane z trybem kiosk w przeglądarkach internetowych

W dobie coraz bardziej wyrafinowanych cyberzagrożeń, przestępcy internetowi nieustannie poszukują nowych metod, aby wykraść nasze dane i oszukać. Czy zdarzyło Ci się kiedyś, że przeglądarka Chrome niespodziewanie przeszła w tryb pełnoekranowy, prezentując stronę logowania do Google? W takiej sytuacji, naturalnym odruchem wielu osób byłoby próba zalogowania się. Niestety, właśnie ten impuls może prowadzić do utraty kontroli nad kontem, a wszystko to za sprawą złośliwego oprogramowania, które wykorzystuje tryb kiosk w przeglądarkach jako narzędzie przeciwko nam. Ten artykuł ma za zadanie wyjaśnić, czym dokładnie jest tryb kiosk w przeglądarkach, jak cyberprzestępcy mogą go wykorzystać do przechwytywania naszych danych uwierzytelniających oraz jak możemy się przed tym chronić.

Czym jest „tryb kiosk” w przeglądarkach internetowych?

Tryb kiosk sam w sobie nie jest czymś negatywnym. Jest to funkcja często wykorzystywana przez firmy, aby ograniczyć interakcję użytkowników z niepożądanymi elementami interfejsu. Jeżeli kiedykolwiek korzystałeś z publicznego terminala internetowego lub kiosku, gdzie nie można było zminimalizować okna ani przejść na inną witrynę, prawdopodobnie działał on właśnie w trybie kiosk.

Warto zaznaczyć, że tryby kiosk są dostępne także w systemach operacyjnych. Można o nich przeczytać więcej w naszych poradnikach dotyczących włączania tego trybu w systemach Windows 10 i Windows 11.

Jak przestępcy wykorzystują tryb kiosk do wyłudzania danych logowania?

Źródło zdjęcia: OALABS Research

Chociaż tryb kiosk na pierwszy rzut oka wydaje się nieszkodliwy, niektórzy twórcy złośliwego oprogramowania znaleźli sposób, aby użyć go do kradzieży danych logowania do kont Google. Atak ten jest bardzo sprytny, a wydostanie się z tej pułapki może być trudne, choć nie niemożliwe.

Zgodnie z raportem OALABS, cała operacja zaczyna się od zainfekowania komputera złośliwym oprogramowaniem Amadey. Amadey, który pojawił się w 2018 roku, wykorzystuje różnorodne techniki, aby rozprzestrzeniać się na komputerach. W przypadku ogólnych infekcji malware, zazwyczaj wystarczają podstawowe metody zapobiegania, aby utrzymać bezpieczeństwo.

Po przedostaniu się do systemu, Amadey instaluje zarówno oprogramowanie do wykradania danych logowania, jak i tzw. stealer. Wykorzystując mechanizm „credential flusher”, malware usiłuje nakłonić ofiarę do wprowadzenia hasła, podczas gdy stealer czeka w ukryciu, aby je przechwycić.

Credential stuffer skanuje system ofiary w poszukiwaniu zainstalowanej przeglądarki. Po jej znalezieniu, zmusza ją do uruchomienia w trybie kiosk. W rezultacie, okno przeglądarki zajmuje cały ekran, nie dając możliwości jego zamknięcia ani przełączenia się na inne aplikacje. Dodatkowo, blokowane są klawisze Escape i F11, co uniemożliwia opuszczenie trybu pełnoekranowego.

Gdy użytkownik znajdzie się w pułapce trybu kiosk, credential flusher przekierowuje przeglądarkę na prawdziwą stronę logowania Google. Ponieważ strona jest autentyczna, nic nie wskazuje na potencjalne zagrożenie. Zdezorientowany i sfrustrowany, użytkownik zakłada, że logowanie się do swojego konta Google rozwiąże problem. W momencie, gdy wprowadza on swoją nazwę użytkownika i hasło, stealer przechwytuje te dane i przesyła je do cyberprzestępcy.

Jak uciec przed atakiem w trybie kiosk?

Źródło: Shutterstock

Na szczęście, złośliwe oprogramowanie nie jest w stanie zablokować wszystkich możliwości ucieczki. Jeśli padniesz ofiarą tego ataku, możesz go zneutralizować, zamykając okno kombinacją klawiszy Alt + F4. Alternatywnie, możesz użyć skrótu Ctrl + Alt + Del lub Ctrl + Shift + Esc, aby uruchomić Menedżera zadań i stamtąd zamknąć przeglądarkę. Klawisze Alt + Tab umożliwią Ci również przełączanie między oknami, co pozwoli wydostać się z pułapki. W ostateczności, krótkie naciśnięcie przycisku zasilania komputera powinno spowodować uruchomienie kontrolowanej procedury zamykania, co również zamknie przeglądarkę.

Dodatkowym zabezpieczeniem jest włączenie weryfikacji dwuetapowej (2FA) dla konta Google. Każda metoda 2FA jest odpowiednia, ale aby maksymalnie utrudnić życie potencjalnemu hakerowi, warto wybrać taką, w której Google wysyła powiadomienie o próbie logowania na inne urządzenie. Wówczas, aby zatwierdzić logowanie, wystarczy dotknąć przycisku „akceptuj”, bez konieczności wpisywania jakiegokolwiek kodu. Dzięki temu, haker nie tylko potrzebuje Twojego urządzenia, ale także nie ma możliwości podejrzenia kodu 2FA i wykorzystania go.

Atak wykorzystujący tryb kiosk jest szczególnie podstępny, ponieważ stara się dezorientować ofiarę do tego stopnia, że ta nieświadomie wprowadzi swoje dane logowania. Na szczęście, świadomość o istnieniu tego zagrożenia to już 90% sukcesu w zabezpieczeniu się przed nim, a pozostałe 10% to umiejętność wydostania się z pułapki. Dzięki tej wiedzy, nie powinieneś już dać się zaskoczyć tym atakiem.