Il phishing che si rende quasi irrilevabile: cos’è il Browser-in-the-Browser

Si tratta dell’ultima frontiera del phishing, l’attacco che prende il nome di Browser-in-the-Browser e che simula a tutti gli effetti una finestra del browser all’interno del browser così da ingannare la vittima della truffa online riuscendo a ottenere i suoi dati. A parlare di questo metodo di phishing è stato il ricercatore di cyber security conosciuto come mr.d0x su Twitter, che lo ha definito un metodo per rubare le credenziali di accesso andando a simulare piccole finestre dei browser che siamo più abituati a utilizzare – da Google a Microsoft passando per tutta un’altra serie di servizi di autenticazione -.

LEGGI ANCHE >>> Attacco hacker ISMEA: «Stiamo valutando la situazione lato legale e lato Garante Privacy»

Browser-in-the-Browser che simula la finestra chiedendo le credenziali

Cadere preda dell’inganno in questo caso è molto semplice: l’utente si trova di fronte una finestra similissima a quelle a cui è abituato con la richiesta di autenticazione per continuare. Cliccando su – per esempio – “Accedi con Microsoft” su un sito web compare questo pop-up che chiede dati come nome utente e password. Come evitare di cadere preda di questo insidioso tipo di phishing?

Servizi come Google Sign-In vanno a mostrare l’url di Google nella barra di navigazione della finestra pop-up che compare, indicatore preciso del fatto che quel servizio di login è sicuro e proveniente da una società affidabile e non da qualche autore sconosciuto che vuole trafugare i vostri dati. Tendenzialmente, poi, ci sono meccanismi di sicurezza del browser – come Content Security Policy e il modello di sicurezza Same-origin policy – che fanno da scudo rispetto a cattive intenzioni di questo tipo.

La forza di questo nuovo attacco BitB è proprio che sfrutta tecniche già esistenti – come il clickjacking, che agisce interponendo un elemento trasparente sopra il pulsante di una pagina web in modo che il click sia dirottato verso altro rispetto a ciò che crede di fare l’utente – e le rende più efficaci creando un’intera finestra che comprende anche elementi come l’icona di un lucchetto chiuso e un url familiare ma falsificato.

I limiti del phishing BitB

Se con questo approccio si possono facilmente ingannare le persone – che, proprio per questo, devono prestare la massima attenzione quando durante la navigazione compaiono finestre che chiedono le credenziali – lo stesso non si può dire dei software. Risulta infatti molto improbabile che i gestori di password riempiano automaticamente con le credenziali registrate una finestra di questo tipo. Il desktop simulato da un BitB, infatti, non verrebbe mai letto come reale finestra di browser. Un elemento che può sicuramente tornare utile visto che, non vedendo comparire la compilazione automatica – che spesso e volentieri tendiamo ad attivare per non dover ricordare tutte le password ogni volta che ci colleghiamo da un dispositivo diverso -, qualsiasi utente potrebbe essere attenzionato.