ブラウザインザブラウザ (BitB) は、正当なドメインを偽装するためにブラウザ内のブラウザウィンドウをシミュレートするために利用できる新しいタイプの攻撃です。. このテクニックは、信頼できるパフォーマンスを実行するために使用できます フィッシング 攻撃.
ブラウザインザブラウザのフィッシング手法の説明
mrとして知られる侵入テスターによって発見されました. d0x, この手法は、通常Webサイトに組み込まれているサードパーティのシングルサインオンオプションを活用します, FacebookやGoogleでサインインするなど.
「Google経由でウェブサイトに認証するときはかなり頻繁に, マイクロソフト, アップルなど. 認証を求めるポップアップウィンドウが表示されます," 氏. d0xは言った. BitB攻撃は、HTMLとCSSコードの組み合わせを使用してこのプロセスを複製することを目的としています, 偽の、しかし信頼できるブラウザウィンドウを作成する. 彼はウィンドウデザインを、悪意のあるページをホストする悪意のあるサーバーを指すiframeと組み合わせました。. 結果は「基本的に区別がつかない」.
「JavaScriptを使用すると、リンクまたはボタンのクリックでウィンドウを簡単に表示できます。, ページの読み込みなど. もちろん、JQueryなどのライブラリで利用可能なアニメーションを使用して、ウィンドウを視覚的に魅力的な方法で表示することもできます。," 彼が追加した.
研究者は、ライトモードとダークモードの両方で、Chromeブラウザ用のWindowsとmacOSのテンプレートを作成しました. この手法により、フィッシング詐欺が大幅に改善されます, それらを検出することを非常に困難にします. ターゲットユーザーは、作成されたサイトにアクセスするだけで、ポップアップウィンドウが表示され、資格情報が表示されます。.
オリジナルからテクニックについてもっと知る テクニカルライティング.
去年, フィッシング詐欺師は、を使用する特定の難読化手法を作成しました 悪意のあるURLを隠すモールス信号 電子メールの添付ファイル内. これはおそらく、モールス信号をそのような方法で利用する脅威アクターの最初のケースです。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: