Nowy atak przeglądarki w przeglądarce (BITB) sprawia, że ​​phishing jest prawie niewykrywalny

Nowatorska technika phishingowa zwana atakiem przeglądarka w przeglądarce (BitB) może zostać wykorzystana do symulowania okna przeglądarki w przeglądarce w celu sfałszowania legalnej domeny, co umożliwia przeprowadzanie przekonujących ataków phishingowych.

Według testera penetracji i badacza bezpieczeństwa, który idzie za uchwytem mrd0x na Twitterze metoda korzysta z opcji logowania jednokrotnego (SSO) innych firm osadzonych w witrynach internetowych, takich jak „Zaloguj się przez Google” (lub Facebook, Apple lub Microsoft).

Podczas gdy domyślnym zachowaniem, gdy użytkownik próbuje zalogować się za pomocą tych metod, jest powitanie przez wyskakujące okienko w celu zakończenia procesu uwierzytelniania, atak BitB ma na celu zreplikowanie całego procesu przy użyciu kombinacji kodu HTML i CSS w celu utworzenia całkowicie sfabrykowane okno przeglądarki.

„Połącz projekt okna z ramką iframe wskazującą na złośliwy serwer hostujący stronę phishingową i jest to w zasadzie nie do odróżnienia” – powiedział mrd0x w opisie technicznym opublikowanym w zeszłym tygodniu. “JavaScript może być z łatwością użyty do wyświetlenia okna po kliknięciu łącza lub przycisku, podczas ładowania strony itp.”

Co ciekawe, technika ta była już przynajmniej raz nadużywana na wolności. W lutym 2020 r. Zscaler ujawnił szczegóły kampanii, w której wykorzystano sztuczkę BitB do wyłudzenia danych uwierzytelniających do usługi cyfrowej dystrybucji gier wideo Steam za pomocą fałszywych witryn Counter-Strike: Global Offensive (CS: GO).

„Zwykle środki podejmowane przez użytkownika w celu wykrycia witryny phishingowej obejmują m.in. sprawdzenie, czy adres URL jest legalny, czy witryna korzysta z protokołu HTTPS i czy w domenie występuje jakikolwiek homograf” — powiedział Prakhar, badacz Zscalera. – powiedział wtedy Śrotriya.

„W tym przypadku wszystko wygląda dobrze, ponieważ domeną jest steamcommunity[.]com, który jest zgodny z prawem i korzysta z protokołu HTTPS. Ale kiedy próbujemy przeciągnąć ten monit z aktualnie używanego okna, znika on poza krawędzią okna, ponieważ nie jest to prawidłowe wyskakujące okienko przeglądarki i jest tworzony przy użyciu HTML w bieżącym oknie”.

Chociaż ta metoda znacznie ułatwia tworzenie skutecznych kampanii socjotechnicznych, warto zauważyć, że potencjalne ofiary muszą być przekierowywane do domeny phishingowej, która może wyświetlać fałszywe okno uwierzytelniania w celu zbierania danych uwierzytelniających.

„Ale po wylądowaniu na stronie internetowej należącej do atakującego, użytkownik będzie czuł się swobodnie, wpisując swoje dane uwierzytelniające na czymś, co wydaje się być legalną witryną (ponieważ tak mówi godny zaufania adres URL)” – dodał mrd0x.