Активизация фишинговой техники BitB

По сообщению компании «Информзащита», ее эксперты предупредили об активизации фишинговой техники «браузер в браузере» (BitB, browser-in-the-browser), при которой создается полностью поддельное окно браузера, включая значки доверия. Эта концепция уже использовалась хакерскими группировками для кражи данных для входа в систему, но сегодня исследователи в области ИБ считают, что атака browser-in-the-browser будет активно применяться в сфере рекламы.

При технике BitB имитируется окно браузера с целью подделки легитимного домена, что позволяет проводить правдоподобные фишинговые атаки. Метод использует сторонние возможности технологии единого входа (SSO). На экране это будет выглядеть как нечто вроде кнопки «Войти с помощью Microsoft», а далее появится всплывающее окно с запросом данных для доступа к учетной записи или профилю. Как поясняют эксперты «Информзащиты», фишинговое окно обычно включает значок закрытого замка и URL-адрес ресурса (поддельный), что не вызывает сомнений в безопасности процесса аутентификации. Но если в браузере правильно настроены политики безопасности и обновлены все патчи антивирусов, то злоумышленнику будет сложно вставить нелигитимную страницу.

Хакеры используют и такие методы, как кликджекинг или исправление пользовательского интерфейса, который изменяет внешний вид браузеров и веб-страниц, чтобы обойти защиту. Благодаря атаке кликджекинга можно, например, вставить прозрачный элемент поверх кнопки веб-страницы, чтобы пользовательское действие было перехвачено злоумышленником.

BitB расширяет данную технику, создавая полностью фальшивое окно браузера. Пользователь думает, что видит настоящее окно, тогда как на самом деле оно подделано внутри страницы и стремится захватить чужие учетные данные. Для того, чтобы сымитировать окно браузера, используется смесь кода HTML и CSS.

Атака «браузер в браузере» эффективна для фишинговых кампаний. Пользователям по-прежнему необходимо посетить вредоносный сайт, чтобы появилось всплывающее окно, но после этого они, вероятнее всего, внесут свои учетные данные в форму, потому что все будет выглядеть правдоподобно.

Концепцию BitB могут применять те, кто распространяет вирусную рекламу, считают в «Инфомзащите». Вредоносный код может попасть через такую рекламу в iframe, но так как iframe не защищен, его можно внедрить на родительскую страницу в виде фальшивого окна в браузере. Компании-разработчики стараются отслеживать вредоносные коды.

В то же время эксперты считают, что атака BitB вряд ли способна обмануть другое ПО. К примеру, менеджеры паролей, скорее всего, не будут автоматически вводить учетные данные в поддельное окно, потому что они не определят его как настоящее окно браузера. Также защитой от атаки BitB может стать антивирус и многофакторная аутентификация. Кроме того, можно следить за системными и сетевыми журналами и проверять подлинность всплывающего окна путем изменения его размеров или его прокрутки.