I ricercatori della società di intelligence sulle minacce Group-IB hanno appena scritto un intrigante storia di vita reale su un trucco di phishing fastidiosamente semplice ma sorprendentemente efficace noto come BitB, abbreviazione di browser nel browser.
Probabilmente hai già sentito parlare di diversi tipi di attacchi X-in-the-Y, in particolare MitM ed MitB, abbreviazione di manipolatore nel mezzo ed manipolatore nel browser.
In un attacco MitM, gli aggressori che vogliono ingannarti si posizionano da qualche parte “al centro” della rete, tra il tuo computer e il server che stai cercando di raggiungere.
(Potrebbero non essere letteralmente nel mezzo, né geograficamente né dal punto di vista del salto, ma gli aggressori MitM sono da qualche parte lungo il percorso, non proprio alle due estremità.)
L'idea è che invece di dover entrare nel tuo computer, o nel server dall'altra parte, ti inducono a connetterti a loro (o manipolano deliberatamente il tuo percorso di rete, che non puoi controllare facilmente una volta che i tuoi pacchetti escono da il tuo router), e poi fingono di essere l'altra estremità – un proxy malevolo, se vuoi.
Passano i tuoi pacchetti alla destinazione ufficiale, spiandoli e magari giocherellando con loro lungo la strada, quindi ricevono le risposte ufficiali, che possono curiosare e modificare per la seconda volta, e te le restituiscono come se tu' d connesso end-to-end proprio come ti aspettavi.
Se non stai utilizzando la crittografia end-to-end come HTTPS per proteggere sia la riservatezza (nessun ficcanaso!) che l'integrità (nessuna manomissione!) Del traffico, è improbabile che tu te ne accorga, o anche solo per essere in grado di rileva che qualcun altro ha aperto a vapore le tue lettere digitali in transito e poi le ha sigillate di nuovo in seguito.
Attaccare da un lato
A MitB attacco mira a funzionare in modo simile, ma eludere il problema causato da HTTPS, che rende molto più difficile un attacco MitM.
Gli aggressori MitM non possono interferire prontamente con il traffico crittografato con HTTPS: non possono spiare i tuoi dati, perché non hanno le chiavi crittografiche utilizzate da ciascuna estremità per proteggerli; non possono modificare i dati crittografati, perché la verifica crittografica a ciascuna estremità darebbe quindi l'allarme; e non possono fingere di essere il server a cui ti stai connettendo perché non hanno il segreto crittografico che il server utilizza per dimostrare la sua identità.
Un attacco MitB quindi in genere si basa prima sull'intrusione di malware sul tuo computer.
In genere è più difficile che attingere semplicemente alla rete a un certo punto, ma offre agli aggressori un enorme vantaggio se riescono a gestirla.
Questo perché, se possono inserirsi direttamente all'interno del tuo browser, possono vedere e modificare il tuo traffico di rete prima che il tuo browser lo crittografa per l'invio, che annulla qualsiasi protezione HTTPS in uscita e dopo che il tuo browser lo ha decrittografato sulla via del ritorno, annullando così la crittografia applicata dal server per proteggere le sue risposte.
Che cosa è un BitB?
Ma che dire di un? BitB attacco?
Browser nel browser è piuttosto un boccone e l'inganno coinvolto non dà ai criminali informatici tanto potere quanto un hack MitM o MitB, ma il concetto è incredibilmente semplice, e se hai troppa fretta, è sorprendentemente facile innamorarsene.
L'idea di un attacco BitB è quella di creare quella che sembra una finestra del browser popup che è stata generata in modo sicuro dal browser stesso, ma in realtà non è altro che una pagina Web che è stata visualizzata in una finestra del browser esistente.
Potresti pensare che questo tipo di inganno sarebbe destinato a fallire, semplicemente perché qualsiasi contenuto nel sito X che finge di provenire dal sito Y verrà visualizzato nel browser stesso come proveniente da un URL sul sito X.
Uno sguardo alla barra degli indirizzi renderà evidente che ti stanno mentendo e che qualunque cosa tu stia guardando è probabilmente un sito di phishing.
Nemico esempio, ecco uno screenshot di example.com sito web, preso in Firefox su un Mac:
Se gli aggressori ti attirassero su un sito falso, potresti innamorarti degli elementi visivi se copiassero il contenuto da vicino, ma la barra degli indirizzi rivelerebbe che non eri sul sito che stavi cercando.
In una truffa Browser-in-the-Browser, quindi, l'obiettivo dell'attaccante è creare una rete normale pagina sembra il web sito e contenuto ti aspetti, completo delle decorazioni delle finestre e della barra degli indirizzi, simulata il più realisticamente possibile.
In un certo senso, un attacco BitB riguarda più l'arte che la scienza, e riguarda più il web design e la gestione delle aspettative che l'hacking della rete.
Ad esempio, se creiamo due file immagine raschiati sullo schermo che assomigliano a questo...
...quindi HTML semplice come quello che vedi sotto...
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
…creerà quella che sembra una finestra del browser all'interno di una finestra del browser esistente, come questa:
una pagina web che SEMBRA una finestra del browser.
In questo esempio molto semplice, i tre pulsanti di macOS (chiudi, riduci a icona, ingrandisci) in alto a sinistra non faranno nulla, perché non sono pulsanti del sistema operativo, sono solo immagini di pulsantie la barra degli indirizzi in quella che sembra una finestra di Firefox non può essere cliccata o modificata, perché anch'essa è solo uno screenshot.
Ma se ora aggiungiamo un IFRAME all'HTML mostrato sopra, per risucchiare contenuti fasulli da un sito che non ha nulla a che fare con example.com, come questo…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
...dovresti ammettere che il contenuto visivo risultante sembra esattamente come una finestra del browser standalone, anche se in realtà è un pagina Web all'interno di un'altra finestra del browser.
Il contenuto del testo e il link cliccabile che vedi sotto sono stati scaricati dal dodgy.test Collegamento HTTPS nel file HTML sopra, che conteneva questo codice HTML:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Il contenuto grafico che sovrasta e segue il testo HTML fa sembrare che l'HTML provenga davvero example.com, grazie allo screenshot della barra degli indirizzi in alto:
Mezzo. Falso tramite download IFRAME.
Parte inferiore. L'immagine completa la finta finestra.
L'artificio è evidente se si visualizza la finestra fasulla su un sistema operativo diverso, come Linux, perché si ottiene una finestra di Firefox simile a Linux con una "finestra" simile a un Mac al suo interno.
I falsi componenti di "finestra" si distinguono davvero per le immagini che sono realmente:
con i controlli della finestra effettivi e la barra degli indirizzi in alto.
Ci cadresti?
Se hai mai fatto screenshot di app e poi li hai aperti in un secondo momento nel tuo visualizzatore di foto, siamo disposti a scommettere che a un certo punto ti sei ingannato nel trattare l'immagine dell'app come se fosse una copia in esecuzione del app stessa.
Scommetteremo che hai cliccato o toccato almeno un'immagine di un'app in un'app nella tua vita e ti sei ritrovato a chiederti perché l'app non funzionava. (OK, forse non l'hai fatto, ma sicuramente l'abbiamo fatto, fino al punto di una vera confusione.)
Ovviamente, se fai clic sullo screenshot di un'app all'interno di un browser di foto, sei a pochissimi rischi, perché i clic o i tocchi semplicemente non faranno quello che ti aspetti, anzi, potresti finire per modificare o scarabocchiare linee sull'immagine invece.
Ma quando si tratta di a browser nel browser "artwork attack", invece, clic o tocchi mal indirizzati in una finestra simulata possono essere pericolosi, perché sei ancora in una finestra del browser attiva, dove JavaScript è in gioco e dove i link funzionano ancora...
...non sei solo nella finestra del browser che pensavi, e non sei nemmeno sul sito web che pensavi.
Peggio ancora, qualsiasi JavaScript in esecuzione nella finestra del browser attiva (che proveniva dal sito dell'impostore originale che hai visitato) può simulare alcuni dei comportamenti previsti di una finestra popup del browser originale per aggiungere realismo, come trascinarla, ridimensionarla e di più.
Come abbiamo detto all'inizio, se stai aspettando una vera finestra popup e vedi qualcosa che sembra una finestra popup, completa di pulsanti del browser realistici più una barra degli indirizzi che corrisponde a ciò che ti aspettavi, e hai un po' di fretta...
…possiamo comprendere appieno come potresti erroneamente riconoscere la finestra falsa come reale.
Steam Games presi di mira
Nel Gruppo-IB riparazioni abbiamo menzionato sopra, l'attacco BinB nel mondo reale che i ricercatori hanno trovato ha utilizzato Steam Games come esca.
Un sito dall'aspetto legittimo, anche se di cui non avevi mai sentito parlare prima, ti offrirebbe la possibilità di vincere posti in un torneo di gioco imminente, ad esempio...
... e quando il sito ha affermato che stava aprendo una finestra del browser separata contenente una pagina di accesso di Steam, ha invece presentato una finestra fasulla del browser nel browser.
I ricercatori hanno notato che gli aggressori non solo hanno usato l'inganno di BitB per cercare nomi utente e password, ma hanno anche provato a simulare i popup di Steam Guard chiedendo anche codici di autenticazione a due fattori.
Fortunatamente, gli screenshot presentati da Group-IB hanno mostrato che i criminali in cui si sono imbattuti in questo caso non erano molto attenti agli aspetti artistici e di design della loro truffa, quindi la maggior parte degli utenti probabilmente ha individuato la falsificazione.
Ma anche un utente ben informato e di fretta, o qualcuno che utilizza un browser o un sistema operativo con cui non aveva familiarità, ad esempio a casa di un amico, potrebbe non aver notato le imprecisioni.
Inoltre, i criminali più esigenti quasi certamente inventeranno contenuti falsi più realistici, allo stesso modo in cui non tutti i truffatori di posta elettronica commettono errori di ortografia nei loro messaggi, portando così potenzialmente più persone a cedere le proprie credenziali di accesso.
Cosa fare?
Ecco tre suggerimenti:
- Le finestre del browser nel browser non sono vere finestre del browser. Sebbene possano sembrare finestre a livello di sistema operativo, con pulsanti e icone che sembrano proprio come il vero affare, non si comportano come finestre del sistema operativo. Si comportano come pagine web, perché è quello che sono. Se sei sospettoso, prova a trascinare la finestra sospetta fuori dalla finestra principale del browser che la contiene. Una vera finestra del browser si comporterà in modo indipendente, quindi puoi spostarla fuori e oltre la finestra del browser originale. Una falsa finestra del browser verrà "imprigionata" all'interno della finestra reale in cui è mostrata, anche se l'attaccante ha utilizzato JavaScript per cercare di simulare il più possibile un comportamento dall'aspetto genuino. Questo rivelerà rapidamente che fa parte di una pagina Web, non una vera finestra a sé stante.
- Esamina attentamente le finestre sospette. Deridere realisticamente l'aspetto di una finestra del sistema operativo all'interno di una pagina Web è facile da fare male, ma difficile da fare bene. Prendi quei pochi secondi in più per cercare segni rivelatori di falsità e incoerenza.
- In caso di dubbio, non darlo. Diffida dei siti di cui non hai mai sentito parlare e di cui non hai motivo di fidarti, che improvvisamente vogliono che tu acceda tramite un sito di terze parti.
Non avere mai fretta, perché prenderti il tuo tempo ti renderà molto meno propenso a vedere quello che fai think c'è invece di cosa vedere cosa in realtà is vi.
In tre parole: Fermare. Pensare. Collegare.
Immagine in primo piano della foto della finestra dell'app contenente l'immagine della foto de "La Trahison des Images" di Magritte creata tramite wikipedia.
- BitB
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Perdita di dati
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- MitB
- MITM
- Sicurezza nuda
- NextBLOC
- phishing
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Truffa
- VPN
- sicurezza del sito Web
- zefiro
