Dane uwierzytelniające to cenny łup, a hakerzy wymyślają coraz to nowsze sposoby, aby je zdobyć. Jeden z nich, atak Browser in the Browser, do złudzenia przypomina poprawne okno logowania i niełatwo go wykryć. Ale nie jest to niemożliwe, trzeba tylko wiedzieć jak.

A taki phishingowe to jedne z najczęściej spotykanych cyberzagrożeń. Zgodnie z raportem ESET Threat Report T1 2022 w ciągu czterech pierwszych miesięcy 2022 r. odnotowano wzrost zagrożenia atakami phishingowymi o 40% w porównaniu do czterech ostatnich miesięcy 2021 r. Hakerzy wykorzystują w nich inżynierię społeczną, czyli próbują nas oszukać i spowodować podjęcie działań zgodnie z ich zamierzeniami. Ataki te mają uśpić czujność użytkownika w celu zdobycia cennych danych (np. do logowania). Aby nie paść ofiarą socjotechnik, zaleca się m.in. zwracanie uwagi na adres strony. Jednak w nowym i stosowanym coraz częściej ataku Browser in the Browser (BitB) adres URL wygląda poprawnie i z punktu widzenia potencjalnej ofiary jest bezpieczny. O incydentach tego typu informował w zeszłym roku m.in. CERT NASK. Podkreślano, że technika jest nadal rozwijana i zachęcano do zapoznawania się ze sposobami zabezpieczeń. Pozostaje zapamiętać i stosować najważniejsze z nich.

Fałszywe okno

Mówi się, że w przeciwieństwie do fałszywych maili ze złośliwymi linkami technika BitB może jeszcze bardziej uśpić czujność ofiary. Jak sama nazwa wskazuje, BitB to przeglądarka w przeglądarce. „To pozornie nowe okno przeglądarki z fałszywym panelem logowania. Okno wyświetla się w ramach odwiedzanej właśnie strony i łatwo je przeoczyć, bo zazwyczaj jest niemal identyczne jak prawdziwe. Chwila nieuwagi wystarczy, żeby wpisać do fałszywego panelu dane logowania i w ten sposób przekazać je hakerom – mówi Patrycja Tatara, ekspert ds. cyberbezpieczeństwa w Sprint SA.

Najpierw hakerzy rejestrują stronę internetową za pomocą klasycznego phishingu. W tym celu tworzą klon legalnej strony. Aby zwabić potencjalne ofiary, mogą wybrać ciekawe treści, np. oferty zakupów czy pracy. Strona jest tak skonstruowana, że osoby odwiedzające muszą się zalogować, aby coś kupić lub uzyskać dostęp do jakichś funkcji. Odpowiedni przycisk umożliwia przejście do logowania za pośrednictwem legalnych serwisów, do których przestępcy chcą pozyskać hasła. Po kliknięciu w taki przycisk pojawia się dobrze znane okno logowania, np. takie jak wyświetlane przez firmę Microsoft, Google, Apple czy Facebook. Choć do złudzenia przypomina prawidłowe okno logowania, z logo i polami do wypełnienia, jest fałszywe. Nie jest to również osobne okno, a jedynie element strony, która próbuje oszukać użytkownika (dzięki czemu można rozpoznać, że mamy do czynienia z atakiem, o czym za chwilę). Mylące jest też to, że w fałszywym panelu logowania pasek adresu zawiera poprawną domenę strony logowania. Użytkownik, który sprawdzi zawartą w nim domenę przed wpisaniem danych do logowania, może sądzić, że znajduje się na właściwej stronie. Oczywiście wprowadzone w tym oknie dane uwierzytelniające nie trafią do firmy Microsoft, Google czy Apple, ale bezpośrednio na serwer cyberprzestępcy.

Na rys. 1 widać, jak wygląda fałszywe okno logowania w porównaniu do autentycznego. Przygotowanie ataku polega na skopiowaniu prawdziwego wyglądu okna logowania przy użyciu HTML/CSS. Fałszywe okno jest łączone z ramką iframe wskazującą na złośliwy serwer, na którym znajduje się strona phishingowa. Połączenie HTML, CSS, JavaScriptu oraz jQuery sprawia, że fałszywe okno będzie zachowywać się tak jak prawdziwe – odtworzone są wygląd, animacje wjeżdżania i zamykania, poprawność numeru telefonu itp. Atak jest bardzo trudny do rozpoznania. Albo inaczej: kluczem jest czujność i zorientowanie się, że w ogóle możemy mieć do czynienia z atakiem, bo uzyskanie potwierdzenia, że to BitB, jest w zasadzie proste.

[...]