Czy rozpoznasz phishing prawie idealny?! 7 kroków jak spostrzec atak Browser In The Browser

30 marca, 2022

BITB (Browser In The Browser) to zyskujący na popularności atak socjotechniczny polegający na oszukaniu użytkownika w taki sposób, aby podstawić w przeglądarce fałszywe okienko logowania SSO – tak zwane logowanie do wszystkich aplikacji. Single sign-on (SSO) umożliwia szybki dostęp do internetowych usług: e-mail, kalendarza, komunikatora, zdjęć, plików w chmurze i innych. Logowanie do takich aplikacji oferują między innymi Google oraz Microsoft.

Jednokrotne logowanie SSO może wyglądać tak:

single sign on logowanie
Logowanie SSO – Signle Sign-on na przykładzie konta Microsoft.

 

Czy rozpoznasz fałszywe okno logowania? 

Na poniższym obrazku widać, jak wygląda fałszywe okno logowania w porównaniu do prawdziwego. Niewiele osób zauważy drobne różnice. Przygotowanie ataku polega na skopiowaniu prawdziwego wyglądu okna logowania przy użyciu HTML/CSS.

Fałszywe okienko logowania jest łączone z ramką *iframe* wskazującą na złośliwy serwer, na którym znajduje się strona phishingowa. Atak jest bardzo trudny do odróżnienia.

fałszywe i prawdziwe okno logowania
Fałszywe i prawdzie okno logowania. Znajdź 3 różnice...

 

Połączenie HTML, CSS, JavaScript oraz JQuery sprawia, że fałszywe okno będzie „zachowywać się” jak prawdziwe. Zostaną odtworzone: wygląd, animacje wjeżdżania i zamykania, walidacja (poprawność) numeru telefonu itp. 

7 kroków jak rozpoznać Browser In The Browser i jak się chronić?

1. Jednym ze sposobów wykrywania ataku BITB jest próba przeciągnięcia okna do krawędzi przeglądarki. Jeśli okno nie może wydostać się „poza przeglądarkę”, to najprawdopodobniej jest to fałszywe okno.

2. Istnieją pewne wizualne różnice w prawdziwym i fałszywym oknie logowania, ale są one bardzo trudne do rozpoznania w prawdziwym ataku.

3. Używaj menadżera haseł. Jeżeli używasz automatycznego uzupełniania loginów i haseł dla domeny np. facebook.com, to menadżer haseł nie podstawi loginu i hasła na fałszywej domenie facebook-12345.com (automatyczne uzupełnianie pól).

4. Stosuj zabezpieczenia anty-phishingowe! Programy antywirusowe, które mają funkcję deszyfrowania i skanowania ruchu SSL, mogą zablokować podobne ataki, więc jest to jescze jeden powód, aby używać oprogramowania ochronnego najwyższej klasy.

5. Tam, gdzie jest to możliwe, stosuj logowanie wieloskładnikowe. Jeśli usługa online to umożliwia, to używaj do logowania kluczy bezpieczeństwa i noś je przy sobie (wyższe modele obsługują technologię NFC, więc mogą współpracować ze smartfonami).

6. Rozważ wdrożenie w swojej firmie modelu Zero Trust Security dla logowania bez względu na protokół czy wspieranie technologii 2FA. Polskie rozwiązanie (przeczytaj recenzję) jest odporne na ataki phishingowe.

7. Dodatkowym zabezpieczeniem anty-phishingowym będzie wtyczka dla przeglądarek Mozilla, Google, Edge i Opera (w trakcie). Rozszerzenie „Enhanced iFrame Protection – Browser Extension” korzysta z ochrony anty-phishingowej Google dla wyskakujących okienek.

browser in the browser phishing
Zablokowana próba phishingu w ataku klasy browser in the browser.

 

Na powyższym zrzucie ekranu witryna phishingowa ma osadzoną ramkę *iframe* w pojemniku DIV, który tak został dobrany, aby wyglądał jak prawdziwe okno przeglądarki (z fałszywym paskiem adresu URL accounts.google.com). W rzeczywistości domena strony phishingowej to bigphish.ca – rozszerzenie „Enhanced iFrame Protection – Browser Extension” wykryło szkodliwy element *iframe* i ostrzegło o ryzyku.

Przydatne linki:

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]