Новая техника фишинга, названная атакой «браузер-в-браузере» (BitB), может быть использована для имитации окна браузера внутри браузера с целью подмены легитимного домена, что позволяет проводить крайне убедительные фишинговые атаки.
По словам пентестера и исследователя безопасности под ником mrd0x_, этот метод использует преимущества сторонних опций единого входа (SSO), встроенных на веб-сайтах, таких как «Войти с помощью Google» (или Facebook, Apple, Microsoft).
По умолчанию, когда пользователь пытается войти в систему с помощью этих методов, его встречает всплывающее окно для завершения процесса аутентификации. Атака BitB направлена на воспроизведение всего этого процесса с помощью HTML и CSS кода для создания полностью сфабрикованного окна браузера.
«Соедините дизайн окна с iframe, указывающим на вредоносный сервер, на котором размещена фишинговая страница, и она станет практически неотличимой» - заявил mrd0x_ в технической статье, опубликованной на прошлой неделе. «JavaScript можно легко использовать, чтобы заставить окно появляться при нажатии на ссылку или кнопку, при загрузке страницы и т.д.».
Хотя этот метод значительно облегчает проведение эффективных кампаний социальной инженерии, стоит отметить, что потенциальные жертвы должны быть перенаправлены на фишинговый домен, который может отображать такое поддельное окно аутентификации для сбора учетных данных.
«Но, попав на принадлежащий злоумышленникам сайт, пользователь будет спокоен, поскольку введет свои учетные данные на, казалось бы, легитимном сайте (поскольку об этом говорит достоверный URL)» - добавил mrd0x_.
Источник: https://is-systems.org