Los ataques de phishing son el pan nuestro de cada día, en ocasiones usados para distribuir malware, en otras para recopilar credenciales... En esta ocasión vamos a hablar de un tipo específico conocido como browser-in-the-browser (BitB) que simula pantallas del propio navegador para hacernos caer en la trampa.
En este caso el atacante es capaz de simular una ventana dentro del mismo navegador simulando un dominio legítimo para que la víctima introduzca sus credenciales.
Como funciona el ataque browser in the browser
Este método de ataque se aprovecha de la integración SSO presente en multitud de sitios web. El ataque consiste en replicar esta ventana emergente de login por otra falsa creada con código HTML, CSS y iframes lanzándola posteriormente con JavaScript como el atacante haya definido en base a diferentes acciones del usuario.
Por lo general si fueramos redirigidos a una página falsa podríamos verlo fijándonos en 3 aspectos, la URL, la presencia o no del indicador de https y finalmente fijándonos si existe algún tipo de truco de homografía en el dominio.
En este caso, el ataque de BitB es capaz de emular todo esto a la perfección ya que no deja de ser en su parte superior de la ventana una simulación visual de lo que sería una web real, conteniendo en su parte inferior el iframe malicioso. Esto mismo hace que el comportamiento de estos elementos sea extraño si nos ponemos a querer interactuar con estos elementos. Pero por lo general un usuario no va a estar a cada momento con la guardia alta y en el momento que se de cuenta, si se da el caso, es posible que ya sea demasiado tarde.
Como protegernos
Los usuarios siempre podremos ser engañados por esta u otras técnicas similares por mucha atención que prestemos, afortunadamente disponemos de herramientas que pueden evitar directamente que caigamos en estas trampas o que aunque lo hagamos sea sin consecuencias.
- MFA, siempre. El uso de MFA debe ser algo a lo que nos auto obliguemos siempre que sea posible. En caso que introdujeramos nuestras credenciales aún estaríamos protegidos por este segundo factor de autenticación en forma de SMS, llamada, token.... Sin embargo la recogida de contraseña ya se habría realizado por lo que siempre también importante es el no reutilizar contraseñas..ya que en este momento el atacante podría realizar un ataque automatizado contra otras potenciales cuentas bajo nuestro mismo email no protegidas con MFA.
- Gestor de contraseñas, en este caso tenemos un meridiano ejemplo de su utilidad. Por mucho que nos engañen visualmente, el gestor sabrá que no estamos en la página en la que ha de introducir las credenciales, por lo que evitará que caigamos en la trampa.
Fuente mrd0x.com