navegador-en-el-navegador (BitB) es un nuevo tipo de ataque que se puede aprovechar para simular una ventana del navegador dentro del navegador para falsificar un dominio legítimo. La técnica se puede utilizar para realizar acciones creíbles phishing ataques.
Explicación de la técnica de phishing del navegador en el navegador
Descubierto por un probador de penetración conocido como mr. d0x, la técnica aprovecha las opciones de un solo signo de terceros que normalmente están integradas en los sitios web, como Iniciar sesión con Facebook o Google.
“Muy a menudo, cuando nos autenticamos en un sitio web a través de Google, Microsoft, manzana, etc.. se nos proporciona una ventana emergente que nos pide que nos autentiquemos," Sres. d0x dijo. El ataque BitB tiene como objetivo replicar este proceso mediante el uso de una combinación de código HTML y CSS., crear una ventana de navegador falsa pero creíble. Combinó el diseño de la ventana con un iframe que apunta al servidor malicioso que aloja la página maliciosa.. El resultado es “básicamente indistinguible”.
“JavaScript se puede usar fácilmente para hacer que la ventana aparezca en un enlace o haga clic en un botón, en la pagina cargando etc. Y, por supuesto, puede hacer que la ventana aparezca de una manera visualmente atractiva a través de animaciones disponibles en bibliotecas como JQuery.,", Agregó.
El investigador ha creado plantillas para Windows y macOS para el navegador Chrome tanto en modo claro como oscuro.. Esta técnica mejora significativamente los esquemas de phishing, haciéndolos muy difíciles de detectar. El usuario objetivo solo necesita aterrizar en el sitio fabricado para que se muestre la ventana emergente para revelar sus credenciales..
Aprende más sobre la técnica del original redacción técnica.
El año pasado, Los operadores de phishing crearon una técnica de ofuscación específica que utiliza Código Morse para ocultar URLs maliciosas dentro de un archivo adjunto de correo electrónico. Este es quizás el primer caso de actores de amenazas que utilizan el código Morse de tal manera.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: