Este phishing de Google Chrome es prácticamente indetectable: así puedes protegerte de Browser in Browser

Este phishing de Google Chrome es prácticamente indetectable: así puedes protegerte de Browser in Browser

La técnica de phising “Browser In The Browser” es peligrosa y difícil de detectar, pero puedes protegerte ante ella.

El investigador especializado en ciberseguridad mr.d0x ha descubierto un nuevo método que los atacantes podrían utilizar para intentar robar credenciales de inicio de sesión de los usuarios, pudiendo así acceder a información sensible como el contenido de sus cuentas de Google o de Facebook.

Dicho ataque ha sido denominado como “Browser In The Browser” o BITB, y consiste en simular una ventana de inicio de sesión único –SSO–, como la que muchos sitios web ofrecen para acceder a los perfiles de usuario utilizando cuentas de Google, Facebook, Twitter o Apple, entre otras.

Este phishing de Google Chrome es prácticamente indetectable: así puedes protegerte de Browser in BrowserLos ataques de phising están entre los más utilizados para intentar robar datos de usuarios en Internet.

En qué consiste “Browser In The Browser”, una nueva y sofisticada técnica de phising

Es muy común ver cómo algunas páginas o aplicaciones web ofrecen la posibilidad de iniciar sesión con nuestra cuenta de Google, Microsoft, Facebook o Apple. Al elegir una de las opciones, una ventana emergente se abre, permitiéndonos introducir nuestras credenciales de usuario para poder acceder a dicha plataforma o sitio web.

La mayoría de navegadores modernos, como Google Chrome, brindan mecanismos de seguridad que hacen que este tipo de inicio de sesión sea seguro. entre ellos, podemos encontrar algunos como Content Security Policy o Same-origin Policy.

Y, aunque se han intentado desarrollar diferentes técnicas con las que intentar comprometer este tipo de mecanismos de seguridad, Browser In The Browser va un paso más allá, dado que el ataque crea una ventana de navegador completamente nueva, que incluye todos aquellos elementos que podríamos esperar ver en una ventana segura, como los iconos o la URL. Pero, en realidad, el usuario está introduciendo sus datos de inicio de sesión en una ventana falsa.

Este phishing de Google Chrome es prácticamente indetectable: así puedes protegerte de Browser in Browser                                              Una ventana de inicio de sesión falta y una real, básicamente indistingibles.
La elaboración del ataque es relativamente simple. De hecho, mr.d0x afirma haber sido capaz de replicar el diseño de la ventana del navegador usando código HTML y CSS básico. Pese a ello, la ventana es prácticamente indistinguible de una real y fiable. En la imagen animada bajo estas líneas, se puede ver su funcionamiento con más detalle:
Este phishing de Google Chrome es prácticamente indetectable: así puedes protegerte de Browser in Browser                                                                                 Un ataque usando la técnica Browser In The Browser en tiempo real.
Además, el hacker ha compartido en GitHub ejemplos de implementación de este tipo de ataques.

¿Cómo evitar este tipo de ataques?

Aunque, aparentemente, se trata de una técnica de phising muy efectiva a la hora de robar credenciales de usuarios, el propio mr.d0x afirma que, para funcionar, antes habría que conseguir que las víctimas visitaran un sitio web comprometido, y decidieran iniciar sesión. Cuenta, además, con la limitación de que el ataque solo actuaría en navegadores de escritorio, y por tanto no afectaría a las versiones móviles de iOS o Android.

El ataque, además, podría eludirse en caso de utilizar un gestor de contraseñas con capacidad de autocompletar campos de texto de credenciales, dado que este software no funcionaría en una ventana de navegador falsa.

Asimismo, utilizar un sistema de verificación en dos pasos puede evitarnos muchos problemas, pues aún habiendo compartido nuestras credenciales con un supuesto atacante, este aún debería tener acceso al código de verificación para poder acceder a la cuenta.

[andro4all.com]