Web eID Authentication Window Spoofing Proof-of-Concept

Abstract

Phishing attacks are among the most common and effective ways to steal users' data as they manipulate users and exploit people's inattention and ignorance. The widespread use of the Web eID authentication solution makes it an important target for phishing attacks from a cybersecurity perspective. The picture-in-picture attack is a comparatively little-known attack executed in a browser environment. It represents a more sophisticated attack tactic that creates a fake pop-up window using various technical means that mimic a genuine browser or application window, but is entirely under the attacker's control. Similar tactics could be used against the Web eID authentication solution. This thesis aims to study the feasibility and effectiveness of a picture-in-picture attack against the Web eID authentication window to evaluate the security risk posed by this phishing attack. For this purpose, the bachelor's thesis aimed to create a web application demonstrating the picture-in-picture phishing attack against the Web eID authentication window, aiming to obtain the user’s PIN1. A user study was conducted to test the effectiveness of the created proof-of-concept implementation. The results show that only two out of ten participants could detect the attack. This proves that a picture-in-picture attack against the Web eID authentication window can be very effective in practice.

Õngitsusrünnakud on ühed levinumad ja tõhusamad meetodid kasutajate andmete varastamiseks, mis kasutavad ära inimeste tähelepanematust ja teadmatust. Web eID autentimislahenduse laialdane kasutus muudab selle oluliseks sihtmärgiks sellistele rünnakutele. Pilt pildis õngitsusrünnak on võrlemisi vähetuntud rünnak, mida viiakse läbi brauseris. Tegemist on keeruka ründetaktikaga, mille käigus luuakse erinevate tehniliste vahendite abil võltsitud hüpikaken, mis imiteerib ehtsat brauseri või rakenduse akent, kuid on täielikult ründaja kontrolli all. Sarnast lähenemist on võimalik kasutada ka Web eID autentimislahenduse vastu. Lõputöö eesmärk on uurida pilt pildis rünnaku teostatavust ja tõhusust Web eID autentimisakna vastu, et hinnata selle õngitsusrünnakuga kaasnevat turvariski. Selleks loodi lõputöö raames veebirakendus, mis demonstreerib pilt pildis õngitsusrünnakut Web eID autentimisakna vastu eesmärgiga hankida kasutaja PIN1. Loodud kontseptsiooni tõenduse tõhususe hindamiseks viidi läbi kasutajauuring. Tulemused näitasid, et vaid kaks osalejat kümnest suutsid tuvastada õngitsusrünnaku. See tõestab, et pilt pildis õngitsusrünnak Web eID autentimisakna vastu võib olla väga tõhus.