BROWSER IN THE BROWSER (BITB): Nueva técnica de phishing que puede hacerlo indetectable

Una técnica de phishing que simula una ventana de navegador dentro de otro navegador para falsificar un dominio legítimo.

El pasado 15 de marzo de 2022 Mr.d0x compartió una nueva técnica que pretende hacer el phishing más difícil de detectar.

El Phishing, en la mayoría de los casos, utiliza como cebo ataques de ingeniería social mediante refinadas técnicas más eficaces y difíciles de detectar. Este es el caso de Browser in the Browser (Ataque de navegador en el navegador), una técnica novedosa de phishing, donde el atacante busca explotar el ataque aprovechando las opciones de inicio de sesión único (SSO) integradas en diferentes sitios web.

Las opciones de inicio de sesión único las podemos ver como “Iniciar sesión con…” “Sign in with…”, …etc. Estas opción de SSO generan pop-ups para que los usuarios de manera rápida puedan iniciar sesión a través de su cuenta en plataformas terciarias.

Una vez se hace clic en el botón “iniciar sesión”, se abre una nueva ventana del navegador donde los usuarios pueden loguearse. Esta nueva ventana del navegador aísla el proceso de inicio de sesión para que el sitio web que usa OAuth nunca vea las credenciales de inicio de sesión de los usuarios. Aislar el proceso de inicio de sesión es una medida deseable de seguridad y privacidad, se demostró que los malos cibercriminales pueden imitar esta técnica de aislamiento particular para ocultar los ataques de phishing. 

¿Cómo funciona?

A menudo, cuando un usuario inicia sesión en un sitio web aparece una ventana emergente que pide que que se autentique. La siguiente imagen muestra la ventana que aparece cuando alguien intenta iniciar sesión en Canva con su cuenta de Google. Como se puede observar, en la pantalla de Canva, se ofrece la opción de continuar con diferentes servicios, y al elegir uno se desplegará una ventana emergente, en la que se procede a autenticarse.

Un ataque Browser in the Browser se realiza mediante una réplica de una ventana emergente similar a la que sale al iniciar sesión con SSO y de esta forma a partir del pop-up de login ilegítimo, se roban las credenciales. La apariencia de estos pop-ups falsos puede ser exactamente idéntica a uno original e incluyendo la URL, lo que hace que este ataque sea más complicado de detectar. Generalmente, las réplicas de ventanas se crean de una manera muy sencilla para los atacantes usando HTML/CSS básico; estos simulan el diseño de la ventana con un iframe que apunte al servidor malicioso que aloja la página de phishing. 

La imagen de abajo muestra la ventana falsa comparada con la ventana real, bastante creíble para quien no se fije en los mínimos detalles.

sitio real y de phishing

Desde el HTML, se puede cambiar la URL de forma muy sencilla, y como se puede ver es posible poner lo que se quiera. Para buscar realismo, simplemente bastará con visitar alguna página en la que se genere el pop-up legítimo y copiar la URL para adaptarla.

Fuente: Keyur Talati Security Analyst – WeSecureApp

Esta técnica hace más complicado de detectar un caso de phishing, y por tanto hace que aumente su efectividad. Por ello, prácticas como el MFA o el 2FA ganan valor para evitar cualquier tipo de ataque para sus datos o los de su organización.

La única defensa contra este tipo de ataque de phishing moderno es la conciencia.

La evidencia durante los últimos años ha demostrado que la verdadera clave para la mitigación de incidentes de ciberseguridad, en este caso de Phishing, es la sensibilización y concientización. Tenga en cuenta algunas mitigaciones como:

  • Utilizar siempre uno de gestores de contraseñas y autenticación multifactor.
  • Instalar un antivirus robusto.
  • Supervisar frecuentemente los registros del sistema y de la red.
  • Revisar con detalle las ventanas emergentes para verificar su autenticidad.
  • Implementar las mejores prácticas de seguridad.