Un investigador de seguridad descubrió una nueva técnica de phishing que hace que el ataque sea ”casi invisible”, el cual puede adquirir información confidencial de los usuarios. Según mr.d0x, el investigador que descubrió esta técnica, el ataque de BitB tiene como objetivo las opciones de inicio de sesión único de terceros en sitios web que […]
Un investigador de seguridad descubrió una nueva técnica de phishing que hace que el ataque sea ”casi invisible”, el cual puede adquirir información confidencial de los usuarios.
Según mr.d0x, el investigador que descubrió esta técnica, el ataque de BitB tiene como objetivo las opciones de inicio de sesión único de terceros en sitios web que ofrecen ventanas emergentes para la autenticación, como el inicio de sesión con Facebook, Google, Apple o Microsoft.
El investigador cree que es posible crear una versión maliciosa de una ventana emergente para engañar al objetivo y que este proporcione información.
En un principio, crearon una ventana de inicio de sesión para Canva usando HTML/CSS básico.
Las ventanas emergentes falsas simulan una ventana del navegador dentro del navegador y, posteriormente, falsifican un dominio legítimo, lo que conduce a ataques de phishing convincentes que engañan al objetivo.
Una vez que la víctima visita el sitio web (propiedad del atacante), puede ingresar sus credenciales en un sitio que parece legítimo y, en última instancia, entregar sus credenciales a actores maliciosos.
El investigador combinó un diseño de ventana emergente con un iframe que apunta al servidor malicioso que aloja la página de phishing.
Además, el uso de JavaScript puede hacer que la ventana aparezca en un enlace y haga clic en un botón o en una pantalla de carga de página.
Por ejemplo, la biblioteca JQuery JavaScript puede hacer que la ventana parezca visualmente atractiva o dinámica.
Además, el ataque puede engañar a quienes pasan el cursor sobre una URL para averiguar su legitimidad. Si se permite JavaScript, esta protección de seguridad se puede eludir fácilmente.
Artículos relacionados
Los kits de phishing evolucionan y eluden la detección
29 de marzo de 2022Los ataques de phishing son un problema que aumenta a pasos agigantados y últimamente ha habido un aumento en este tipo de ataques debido a que los ciberdelincuentes están desarrollando sus propios kits de phishing para evadir la detección.
