Phishing: il nuovo attacco “Browser in the Browser” (BitB)

Condividi:

Un ricercatore ha scoperto un nuovo tipo di attacco #phishing, molto complesso sotto il profilo tecnico ma molto semplice nello sfruttamento della leva psicologica sul quale è costruito.

Si tratta del tipo “Browser In The Browser” (#BitB) che fa leva sull’abitudine di vedere apparire finestre secondarie del browser quando effettuiamo il login ad un servizio che usi il metodo #OAuth per la validazione delle credenziali.

Quando ci logghiamo in un sito “normale”, il sistema OAuth comanda la creazione di una seconda finestra del browser per l’immissione delle credenziali, in modo che quelle siano trasferite solo e soltanto al gestore di quelle – per esempio: a Google se ci logghiamo usando l’account di Google.

L’attacco BitB, invece, oltre alla tipica tecnica di clonazione di una pagina di login di un servizio, fa in modo che il visitatore veda la finestra secondaria, esattamente come si aspetterebbe in un’azione del genere; la finestra secondaria del BitB, però, non è reale ma è una fedele riproduzione di una finestra del browser creata all’istante dal codice della pagina maligna. La finestra secondaria finta, infatti, può essere persino spostata e questo potrebbe far cadere persino gli utenti più esperti e più attenti alla sicurezza online.

Gli unici modi per capire se la finestra secondaria è genuina sono:

  1. spostarla per vedere se può sovrapporsi alla barra degli indirizzi della finestra del browser primaria – quella fasulla non può uscire dalla finestra primaria perché è creata in essa;
  2. cliccare con il tasto destro del mouse sulla finestra secondaria e selezionare “Ispeziona elemento” per vedere se l’indirizzo mostrato sia presente all’interno del suo codice – nel sistema OAuth, l’URL viene trasmesso dal server e non è presente nel codice della pagina per l’inserimento delle credenziali.

Da ArsTechnica.com