در اینجا سایتی برای رمزهای عبور فیشینگ وجود دارد که می تواند حتی کاربران با تجربه را فریب دهد

بزرگنمایی (اعتبار: Getty Images)

وقتی به مردم آموزش می دهیم که چگونه قربانی سایت های فیشینگ نشوند، معمولاً به شما توصیه می کنیم نوار آدرس را به دقت بررسی کنید تا مطمئن شوید. درست حاوی HTTPS و آن است انجام نده شامل دامنه های مشکوکی مانند google.evildomain.com یا حروف عامیانه مانند g00gle.com است. اما اگر کسی راهی برای شکستن رمزهای عبور با استفاده از یک سایت مخرب پیدا کند که حاوی این کاراکترهای گویا نباشد، چه؟

یک محقق تکنیکی را برای انجام این کار ابداع کرده است. او آن را BitB می نامد که مخفف عبارت «مرورگر درون مرورگر» است. از یک پنجره مرورگر جعلی در یک پنجره مرورگر واقعی برای جعل صفحه OAuth استفاده می کند. صدها هزار سایت از پروتکل OAuth استفاده می کنند تا به بازدیدکنندگان اجازه دهند با استفاده از حساب های موجود خود در شرکت هایی مانند گوگل، فیس بوک یا اپل وارد شوند. بازدیدکنندگان می توانند به جای ایجاد یک حساب کاربری در سایت جدید، از حسابی که قبلاً دارند استفاده کنند – و جادوی OAuth بقیه کارها را انجام می دهد.

بهره برداری از اعتماد

به عنوان مثال، سایت ویرایش عکس Canva به بازدیدکنندگان این امکان را می دهد که با استفاده از یکی از سه حساب رایج وارد سیستم شوند. تصاویر زیر نشان می دهد که کاربر پس از کلیک بر روی دکمه “ورود” چه می بیند. بعد از اینکه انتخاب کردید با گذرواژه Google وارد شوید، تصویر چه چیزی را نشان می‌دهد. هنگامی که کاربر Google را انتخاب کرد، یک پنجره مرورگر جدید با یک آدرس قانونی در مقابل پنجره Canva موجود باز می شود.