25 Mar Este phishing de Google Chrome es prácticamente indetectable: así puedes protegerte de Browser in Browser
La técnica de phising “Browser In The Browser” es peligrosa y difícil de detectar, pero puedes protegerte ante ella.
El investigador especializado en ciberseguridad mr.d0x ha descubierto un nuevo método que los atacantes podrían utilizar para intentar robar credenciales de inicio de sesión de los usuarios, pudiendo así acceder a información sensible como el contenido de sus cuentas de Google o de Facebook.
Dicho ataque ha sido denominado como “Browser In The Browser” o BITB, y consiste en simular una ventana de inicio de sesión único –SSO–, como la que muchos sitios web ofrecen para acceder a los perfiles de usuario utilizando cuentas de Google, Facebook, Twitter o Apple, entre otras.
En qué consiste “Browser In The Browser”, una nueva y sofisticada técnica de phising
Es muy común ver cómo algunas páginas o aplicaciones web ofrecen la posibilidad de iniciar sesión con nuestra cuenta de Google, Microsoft, Facebook o Apple. Al elegir una de las opciones, una ventana emergente se abre, permitiéndonos introducir nuestras credenciales de usuario para poder acceder a dicha plataforma o sitio web.
La mayoría de navegadores modernos, como Google Chrome, brindan mecanismos de seguridad que hacen que este tipo de inicio de sesión sea seguro. entre ellos, podemos encontrar algunos como Content Security Policy o Same-origin Policy.
Y, aunque se han intentado desarrollar diferentes técnicas con las que intentar comprometer este tipo de mecanismos de seguridad, Browser In The Browser va un paso más allá, dado que el ataque crea una ventana de navegador completamente nueva, que incluye todos aquellos elementos que podríamos esperar ver en una ventana segura, como los iconos o la URL. Pero, en realidad, el usuario está introduciendo sus datos de inicio de sesión en una ventana falsa.
¿Cómo evitar este tipo de ataques?
Aunque, aparentemente, se trata de una técnica de phising muy efectiva a la hora de robar credenciales de usuarios, el propio mr.d0x afirma que, para funcionar, antes habría que conseguir que las víctimas visitaran un sitio web comprometido, y decidieran iniciar sesión. Cuenta, además, con la limitación de que el ataque solo actuaría en navegadores de escritorio, y por tanto no afectaría a las versiones móviles de iOS o Android.
El ataque, además, podría eludirse en caso de utilizar un gestor de contraseñas con capacidad de autocompletar campos de texto de credenciales, dado que este software no funcionaría en una ventana de navegador falsa.
Asimismo, utilizar un sistema de verificación en dos pasos puede evitarnos muchos problemas, pues aún habiendo compartido nuestras credenciales con un supuesto atacante, este aún debería tener acceso al código de verificación para poder acceder a la cuenta.