Se puede explotar una nueva técnica de phishing llamada ataque de navegador en el navegador (BitB) para simular una ventana de navegador dentro del navegador para falsificar un dominio legítimo, lo que hace posible realizar ataques de phishing convincentes.
Según el probador de penetración e investigador de seguridad, que se hace llamar mrd0x_, el método aprovecha el inicio de sesión único de terceros (inicio de sesión único) opciones incrustadas en sitios web como «Iniciar sesión con Google» (o Facebook, Apple o Microsoft).
Si bien el comportamiento predeterminado cuando un usuario intenta iniciar sesión a través de estos métodos es recibir una ventana emergente para completar el proceso de autenticación, el ataque BitB tiene como objetivo replicar todo este proceso utilizando una combinación de código HTML y CSS para crear un ventana del navegador completamente fabricada.
«Combine el diseño de la ventana con un iframe que apunte al servidor malicioso que aloja la página de phishing, y es básicamente indistinguible», mrd0x_ dijo en un artículo técnico publicado la semana pasada. «JavaScript se puede usar fácilmente para hacer que la ventana aparezca en un enlace o en un clic de botón, en la carga de la página, etc.»
Si bien este método facilita significativamente el montaje efectivo campañas de ingeniería socialvale la pena señalar que las víctimas potenciales deben ser redirigidas a un dominio de phishing que pueda mostrar una ventana de autenticación falsa para la recolección de credenciales.
«Pero una vez que llega al sitio web propiedad del atacante, el usuario estará tranquilo mientras escribe sus credenciales en lo que parece ser el sitio web legítimo (porque la URL confiable lo dice)», agregó mrd0x_.