Pesquisadores da empresa de inteligência de ameaças Group-IB acabaram de escrever um intrigante história da vida real sobre um truque de phishing irritantemente simples, mas surpreendentemente eficaz, conhecido como Bit B, abreviatura de navegador no navegador.
Você provavelmente já ouviu falar de vários tipos de ataque X-in-the-Y antes, principalmente Com M e MitB, abreviatura de manipulador-no-meio e manipulador-no-navegador.
Em um ataque MitM, os invasores que querem enganá-lo se posicionam em algum lugar “no meio” da rede, entre seu computador e o servidor que você está tentando acessar.
(Eles podem não estar literalmente no meio, geograficamente ou em termos de salto, mas os invasores MitM estão em algum lugar juntamente a rota, não exatamente em nenhuma das extremidades.)
A ideia é que, em vez de ter que invadir seu computador ou o servidor do outro lado, eles o atraem para se conectar a eles (ou manipulem deliberadamente seu caminho de rede, que você não pode controlar facilmente quando seus pacotes saem do seu próprio roteador), e então eles fingem ser o outro lado – um proxy malévolo, se você preferir.
Eles passam seus pacotes para o destino oficial, bisbilhotando-os e talvez brincando com eles no caminho, então recebem as respostas oficiais, que eles podem bisbilhotar e ajustar pela segunda vez, e devolvê-los a você como se você estivesse d conectado de ponta a ponta exatamente como você esperava.
Se você não estiver usando criptografia de ponta a ponta, como HTTPS, para proteger a confidencialidade (sem espionagem!) e a integridade (sem adulteração!) detectar, que outra pessoa está abrindo suas cartas digitais em trânsito e, em seguida, selando-as novamente depois.
Atacando em uma extremidade
A MitB ataque visa funcionar de forma semelhante, mas para contornar o problema causado pelo HTTPS, o que torna um ataque MitM muito mais difícil.
Os invasores do MitM não podem interferir prontamente no tráfego criptografado com HTTPS: eles não podem bisbilhotar seus dados porque não têm as chaves criptográficas usadas por cada extremidade para protegê-los; eles não podem alterar os dados criptografados, porque a verificação criptográfica em cada extremidade acionaria o alarme; e eles não podem fingir ser o servidor ao qual você está se conectando porque não têm o segredo criptográfico que o servidor usa para provar sua identidade.
Um ataque MitB, portanto, normalmente se baseia em infiltrar malware no seu computador primeiro.
Isso geralmente é mais difícil do que simplesmente acessar a rede em algum momento, mas dá aos invasores uma enorme vantagem se eles puderem gerenciá-lo.
Isso porque, se eles puderem se inserir diretamente no seu navegador, eles poderão ver e modificar seu tráfego de rede antes que seu navegador o criptografe para envio, o que cancela qualquer proteção HTTPS de saída e depois que seu navegador o descriptografa no caminho de volta, anulando assim a criptografia aplicada pelo servidor para proteger suas respostas.
O que é um BitB?
Mas e quanto a um Bit B ataque?
Navegador no navegador é um bocado, e os truques envolvidos não dão aos cibercriminosos tanto poder quanto um hack MitM ou MitB, mas o conceito é simples, e se você estiver com muita pressa, é surpreendentemente fácil cair nessa.
A ideia de um ataque BitB é criar o que parece ser uma janela pop-up do navegador que foi gerada com segurança pelo próprio navegador, mas na verdade nada mais é do que uma página da Web que foi renderizada em uma janela de navegador existente.
Você pode pensar que esse tipo de truque estaria fadado ao fracasso, simplesmente porque qualquer conteúdo no site X que finja ser do site Y aparecerá no próprio navegador como proveniente de uma URL no site X.
Uma olhada na barra de endereços tornará óbvio que você está sendo enganado e que o que quer que você esteja vendo é provavelmente um site de phishing.
Exemplo de inimigo, aqui está uma captura de tela do example.com site, tirado no Firefox em um Mac:
Se os invasores o atraíssem para um site falso, você poderia cair no visual se eles copiassem o conteúdo de perto, mas a barra de endereço indicaria que você não estava no site que estava procurando.
Em um esquema de navegador no navegador, portanto, o objetivo do invasor é criar um página que parece a web site e conteúdo você está esperando, completo com a decoração da janela e a barra de endereço, simulada da forma mais realista possível.
De certa forma, um ataque BitB é mais sobre arte do que sobre ciência, e é mais sobre web design e gerenciamento de expectativas do que sobre hacking de rede.
Por exemplo, se criarmos dois arquivos de imagem de tela raspada que se parecem com isso…
…então HTML tão simples quanto o que você vê abaixo…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
… criará o que parece ser uma janela do navegador dentro de uma janela do navegador existente, assim:
uma página da web que PARECE uma janela do navegador.
Neste exemplo muito básico, os três botões do macOS (fechar, minimizar, maximizar) no canto superior esquerdo não farão nada, porque não são botões do sistema operacional, são apenas fotos de botões, e a barra de endereço no que parece uma janela do Firefox não pode ser clicada ou editada, porque também é apenas uma captura de tela.
Mas se agora adicionarmos um IFRAME ao HTML que mostramos acima, para sugar conteúdo falso de um site que não tem nada a ver com example.com, assim…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…você teria que admitir que o conteúdo visual resultante parece exatamente como uma janela de navegador independente, embora seja na verdade um página da web dentro de outra janela do navegador.
O conteúdo de texto e o link clicável que você vê abaixo foram baixados do dodgy.test Link HTTPS no arquivo HTML acima, que continha este código HTML:
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
O conteúdo gráfico no topo e no final do texto HTML faz parecer que o HTML realmente veio de example.com, graças à captura de tela da barra de endereços na parte superior:
Meio. Falsificação via download IFRAME.
Fundo. A imagem completa a janela falsa.
O artifício é óbvio se você visualizar a janela falsa em um sistema operacional diferente, como o Linux, porque você obtém uma janela do Firefox semelhante ao Linux com uma “janela” semelhante ao Mac dentro dela.
Os componentes falsos de “vitrine” realmente se destacam como as imagens que realmente são:
com os controles reais da janela e a barra de endereços no topo.
Você cairia nessa?
Se você já fez capturas de tela de aplicativos e abriu as capturas de tela posteriormente em seu visualizador de fotos, podemos apostar que em algum momento você se enganou ao tratar a imagem do aplicativo como se fosse uma cópia em execução do próprio aplicativo.
Apostamos que você clicou ou tocou em uma imagem de aplicativo em um aplicativo pelo menos uma em sua vida e se perguntou por que o aplicativo não estava funcionando. (OK, talvez você não tenha, mas nós certamente temos, a ponto de confusão genuína.)
Claro, se você clicar em uma captura de tela do aplicativo dentro de um navegador de fotos, você corre muito pouco risco, porque os cliques ou toques simplesmente não farão o que você espera - na verdade, você pode acabar editando ou rabiscando linhas na imagem em vez de.
Mas quando se trata de um navegador no navegador Em vez disso, “ataque de arte”, cliques ou toques mal direcionados em uma janela simulada podem ser perigosos, porque você ainda está em uma janela ativa do navegador, onde o JavaScript está em execução e onde os links ainda funcionam…
…você simplesmente não está na janela do navegador que pensou, e também não está no site que pensou.
Pior ainda, qualquer JavaScript em execução na janela ativa do navegador (que veio do site impostor original que você visitou) pode simular alguns dos comportamentos esperados de uma janela pop-up genuína do navegador para adicionar realismo, como arrastá-la, redimensioná-la e mais.
Como dissemos no início, se você estiver esperando por uma janela pop-up real e vir algo que aspecto da democracia. uma janela pop-up, completa com botões realistas do navegador, além de uma barra de endereço que corresponde ao que você esperava, e você está com um pouco de pressa…
…podemos entender completamente como você pode reconhecer erroneamente a janela falsa como uma real.
Jogos Steam direcionados
No Grupo-IB pesquisa mencionamos acima, o ataque BinB do mundo real que os pesquisadores encontraram usou o Steam Games como isca.
Um site de aparência legítima, embora você nunca tenha ouvido falar antes, ofereceria a você a chance de ganhar lugares em um próximo torneio de jogos, por exemplo…
… e quando o site disse que estava abrindo uma janela separada do navegador contendo uma página de login do Steam, ele realmente apresentou uma janela falsa do navegador no navegador.
Os pesquisadores observaram que os invasores não usaram apenas truques do BitB para obter nomes de usuários e senhas, mas também tentaram simular pop-ups do Steam Guard pedindo códigos de autenticação de dois fatores.
Felizmente, as capturas de tela apresentadas pelo Group-IB mostraram que os criminosos que encontraram neste caso não foram muito cuidadosos com os aspectos de arte e design de seus golpes, então a maioria dos usuários provavelmente percebeu a falsificação.
Mas mesmo um usuário bem informado com pressa, ou alguém usando um navegador ou sistema operacional com o qual não estava familiarizado, como na casa de um amigo, pode não ter notado as imprecisões.
Além disso, criminosos mais exigentes quase certamente apresentariam conteúdo falso mais realista, da mesma forma que nem todos os golpistas de e-mail cometem erros de ortografia em suas mensagens, levando potencialmente mais pessoas a fornecer suas credenciais de acesso.
O que fazer?
Aqui estão três dicas:
- As janelas do navegador no navegador não são janelas de navegador reais. Embora possam parecer janelas de nível de sistema operacional, com botões e ícones que se parecem com o real, elas não se comportam como janelas de sistema operacional. Eles se comportam como páginas da web, porque é isso que eles são. Se você é suspeito, tente arrastar a janela suspeita para fora da janela principal do navegador que a contém. Uma janela real do navegador se comportará de forma independente, para que você possa movê-la para fora e além da janela original do navegador. Uma janela de navegador falsa será “aprisionada” dentro da janela real em que é mostrada, mesmo que o invasor tenha usado JavaScript para tentar simular o máximo possível de comportamento de aparência genuína. Isso revelará rapidamente que é parte de uma página da Web, não uma janela verdadeira por si só.
- Examine as janelas suspeitas com cuidado. Fazer mocks realistas da aparência de uma janela do sistema operacional dentro de uma página da Web é fácil de fazer mal, mas difícil de fazer bem. Reserve alguns segundos extras para procurar sinais reveladores de falsidade e inconsistência.
- Na dúvida, não dê. Desconfie de sites dos quais você nunca ouviu falar e nos quais não tem motivos para confiar, que de repente desejam que você faça login por meio de um site de terceiros.
Nunca tenha pressa, porque tomar seu tempo fará com que você tenha muito menos probabilidade de ver o que você think está lá em vez do que ver o que realmente is lá.
Em três palavras: Pare. Acho. Conectar.
Imagem em destaque da foto da janela do aplicativo contendo a imagem da foto de “La Trahison des Images” de Magritte criada via Wikipedia.
- Bit B
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Perda de Dados
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- MitB
- MITM
- Segurança nua
- NexBLOC
- Phishing
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- Golpe
- VPN
- a segurança do website
- zefirnet
