Portada » Home » Browser-in-the-Browser: Una nueva técnica de phishing

Browser-in-the-Browser: Una nueva técnica de phishing

Un investigador de seguridad descubrió una nueva técnica de phishing que hace que el ataque sea »casi invisible», el cual puede adquirir información confidencial de los usuarios.

Según mr.d0x, el investigador que descubrió esta técnica, el ataque de BitB tiene como objetivo las opciones de inicio de sesión único de terceros en sitios web que ofrecen ventanas emergentes para la autenticación, como el inicio de sesión con Facebook, Google, Apple o Microsoft.

Social Login & 3rd-Party App Authorization | by Alan Golman | Medium
Ejemplo de ventana de inicio de sesión

El investigador cree que es posible crear una versión maliciosa de una ventana emergente para engañar al objetivo y que este proporcione información.

En un principio, crearon una ventana de inicio de sesión para Canva usando HTML/CSS básico.

Las ventanas emergentes falsas simulan una ventana del navegador dentro del navegador y, posteriormente, falsifican un dominio legítimo, lo que conduce a ataques de phishing convincentes que engañan al objetivo.

Una vez que la víctima visita el sitio web (propiedad del atacante), puede ingresar sus credenciales en un sitio que parece legítimo y, en última instancia, entregar sus credenciales a actores maliciosos.

El investigador combinó un diseño de ventana emergente con un iframe que apunta al servidor malicioso que aloja la página de phishing.

Además, el uso de JavaScript puede hacer que la ventana aparezca en un enlace y haga clic en un botón o en una pantalla de carga de página.
Por ejemplo, la biblioteca JQuery JavaScript puede hacer que la ventana parezca visualmente atractiva o dinámica.

Además, el ataque puede engañar a quienes pasan el cursor sobre una URL para averiguar su legitimidad. Si se permite JavaScript, esta protección de seguridad se puede eludir fácilmente.