Een nieuwe phishing-techniek genaamd browser-in-the-browser (BitB)-aanval kan worden gebruikt om een browservenster in de browser te simuleren om een legitiem domein te vervalsen, waardoor het mogelijk wordt om overtuigende phishing-aanvallen uit te voeren.
Volgens penetratietester en beveiligingsonderzoeker, die aan het handvat gaat mrd0x op Twitter maakt de methode gebruik van eenmalige aanmelding door derden (SSO) opties die zijn ingesloten op websites zoals “Aanmelden met Google” (of Facebook, Apple of Microsoft).
Hoewel het standaardgedrag wanneer een gebruiker zich via deze methoden probeert aan te melden, wordt begroet door een pop-upvenster om het authenticatieproces te voltooien, heeft de BitB-aanval tot doel dit hele proces te repliceren met een combinatie van HTML- en CSS-code om een volledig verzonnen browservenster.
“Combineer het vensterontwerp met een iframe dat verwijst naar de kwaadaardige server die de phishing-pagina host, en het is in principe niet te onderscheiden,” mrd0x zei in een technisch artikel dat vorige week werd gepubliceerd. “JavaScript kan eenvoudig worden gebruikt om het venster te laten verschijnen op een link of een klik op een knop, op de pagina die wordt geladen enz.”
Interessant is dat de techniek minstens één keer eerder in het wild is misbruikt. In februari 2020, Zscaler onthuld details van een campagne die gebruikmaakte van de BitB-truc om inloggegevens voor de digitale distributieservice Steam voor videogames over te hevelen door middel van valse Counter-Strike: Global Offensive (CS: GO)-websites.
“Normaal gesproken omvatten de maatregelen die een gebruiker neemt om een phishing-site te detecteren, onder meer te controleren of de URL legitiem is, of de website HTTPS gebruikt en of er een soort homograaf in het domein is”, zegt Zscaler-onderzoeker Prakhar. zei Shrotriya destijds.
“In dit geval ziet alles er goed uit aangezien het domein steamcommunity is[.]com, dat legitiem is en HTTPS gebruikt. Maar wanneer we deze prompt uit het momenteel gebruikte venster proberen te slepen, verdwijnt het buiten de rand van het venster, omdat het geen legitieme browser-pop-up is en wordt gemaakt met HTML in het huidige venster.”
Hoewel deze methode het aanzienlijk gemakkelijker maakt om effectief te monteren social engineering-campagnesis het vermeldenswaard dat potentiële slachtoffers moeten worden omgeleid naar een phishing-domein dat zo’n nep-authenticatievenster kan weergeven voor het verzamelen van inloggegevens.
“Maar als de gebruiker eenmaal op de website van de aanvaller is beland, zal hij zich op zijn gemak voelen als hij zijn inloggegevens typt op wat lijkt op de legitieme website (omdat de betrouwbare URL dat zegt)”, voegde mrd0x eraan toe.
