Nyt BITB-angreb gør phishing næsten umuligt at spotte

En ny phishing-teknik kaldet browser-in-the-browser (BitB) angreb kan udnyttes til at simulere et browservindue i browseren for at forfalske et legitimt domæne, hvilket gør det muligt at iscenesætte overbevisende phishing-angreb.

Ifølge penetrationstester og sikkerhedsforsker, der går under håndtaget mrd0x på Twitter, metoden drager fordel af tredjeparts single sign-on (SSO) muligheder indlejret på websteder som “Log ind med Google” (eller Facebook, Apple, eller Microsoft).

Mens standardadfærden, når en bruger forsøger at logge ind via disse metoder, skal hilses af et pop op-vindue for at fuldføre godkendelsesprocessen, Har BitB-angrebet til formål at replikere hele denne proces ved hjælp af en blanding af HTML- og CSS-kode for at skabe et helt fabrikeret browservindue.

“Kombiner vinduesdesignet med en iframe, der peger på den ondsindede server, der er vært for phishing-siden, og det er dybest set umuligt at skelne,” sagde mrd0x i en teknisk opskrivning, der blev offentliggjort i sidste uge. “JavaScript kan let bruges til at få vinduet til at vises på et link eller et knapklik, på siden, der indlæses osv.”

Interessant nok er teknikken blevet misbrugt mindst en gang før. I februar 2020 afslørede Zscaler detaljer om en kampagne, der udnyttede BitB-tricket til at sifonere legitimationsoplysninger til videospil digital distributionstjeneste Steam ved hjælp af falske Counter-Strike: Global Offensive (CS: GO) websteder.

“Normalt inkluderer de foranstaltninger, som en bruger træffer for at opdage et phishing-websted, at kontrollere, om URL’en er legitim, om webstedet bruger HTTPS, og om der er nogen form for homograf i domænet, blandt andre,”Zscaler-forsker Prakhar Shrotriya sagde på det tidspunkt.

“I dette tilfælde ser alt fint ud, da domænet er [.] med, hvilket er legitimt og bruger HTTPS. Men når vi forsøger at trække denne prompt fra det aktuelt anvendte vindue, forsvinder den ud over kanten af vinduet, da det ikke er en legitim browser pop-up og oprettes ved hjælp af HTML i det aktuelle vindue.

Selvom denne metode betydeligt gør det lettere at montere effektive social engineering-kampagner, det er værd at bemærke, at potentielle ofre skal omdirigeres til et phishing-domæne, der kan vise et sådant falsk godkendelsesvindue til høst af legitimationsoplysninger.

“Men når de først er landet på det angriberejede websted, vil brugeren være rolig, når de skriver deres legitimationsoplysninger væk på det, der ser ud til at være det legitime websted (fordi den pålidelige URL siger det),” tilføjede mrd0x.

Kilde: TheHackerNews

 

Scroll til toppen