He aquí un sitio de phishing de contraseñas capaz de engañar incluso a los usuarios más expertos

imágenes falsas

Al enseñar a las personas cómo evitar ser víctimas de sitios de phishing, generalmente recomendamos examinar la barra de direcciones para asegurarse de que este sea el caso. lo hace HTTPS incluido y que no contienen dominios sospechosos como google.evildomain.com o letras sustitutas como g00gle.com. Pero, ¿qué pasaría si alguien encontrara una forma de phishing de contraseñas a través de un sitio web malicioso que no contuviera esos caracteres reveladores?

Un investigador ha desarrollado una técnica para hacer precisamente eso. Él lo llama BitB, abreviatura de «navegador en el navegador». Utiliza una ventana de navegador falsa en una ventana de navegador real para falsificar una página de OAuth. Cientos de miles de sitios web utilizan el protocolo OAuth para permitir que los visitantes inicien sesión con sus cuentas existentes con empresas como Google, Facebook o Apple. En lugar de tener que crear una cuenta en el nuevo sitio, los visitantes pueden usar una cuenta que ya tienen y dejar que la magia de OAuth haga el resto.

explotar la confianza

Por ejemplo, el sitio de edición de fotos Canva ofrece a los visitantes la opción de registrarse con una de tres cuentas populares. Las imágenes a continuación muestran lo que ve un usuario después de hacer clic en el botón Iniciar sesión; Después de eso, la imagen muestra lo que se muestra después de iniciar sesión con una contraseña de Google. Después de que el usuario seleccione Google, se abrirá una nueva ventana del navegador con una dirección legítima frente a la ventana de Canva existente.

canva signin options
canva signin with google

El protocolo OAuth garantiza que solo Google reciba la contraseña del usuario. Canva nunca ve la información de inicio de sesión. En su lugar, OAuth establece de forma segura una sesión de inicio de sesión con Google, y cuando se verifica el nombre de usuario y la contraseña, Google proporciona al visitante un token que permite el acceso a Canva. (Algo similar sucede cuando un comprador elige un método de pago como PayPal).

pay with paypal

La técnica BitB utiliza este esquema. En lugar de abrir una segunda ventana real del navegador asociada con el sitio web para facilitar el registro o el pago, BitB utiliza una variedad de trucos HTML y hojas de estilo en cascada (CSS) para manipular de manera convincente la segunda ventana. La URL que se muestra allí puede mostrar una dirección válida con candado y prefijo HTTPS. El diseño y el comportamiento de la ventana parecen ser idénticos a la realidad.

Un investigador que usa el identificador mr.d0x describió la técnica la semana pasada. Su hazaña de prueba de concepto comienza con una página web que muestra una suplantación de identidad meticulosa de Canva. En el caso de que un visitante inicie sesión con Apple, Google o Facebook, el sitio falso de Canva abrirá una nueva página que incrusta algo mira como la página familiar de OAuth.

browser in the browser demo

Este nuevo sitio también es una parodia. Contiene todos los gráficos que una persona esperaría al registrarse en Google. La página también muestra la dirección legítima de Google en lo que parece ser una barra de direcciones. La nueva ventana se comporta de manera similar a una ventana del navegador si está conectada a una sesión real de Google OAuth.

Cuando una víctima potencial abre la página falsa de Canva.com e intenta iniciar sesión en Google, «abre una nueva ventana del navegador y va a [what appears to be] la URL accounts.google.com”, escribió mr.d0x en un mensaje. De hecho, el sitio web falso de Canva “no abre una nueva ventana del navegador. Parece que se ha abierto una nueva ventana del navegador, pero es solo HTML/CSS. Ahora, esta ventana falsa establece la URL en accounts.google.com, pero eso es una ilusión”.

Malvertiser: por favor no leer

Un amigo investigador de seguridad quedó tan impresionado con la demostración que creó un video de YouTube que muestra más claramente cómo se ve la tecnología. También explica cómo funciona la técnica y lo fácil que es llevarla a cabo.

Técnica de phishing de navegador en el navegador (BITB): creada por mr.d0x

La técnica de BitB es tan sencilla y eficaz que sorprende que no sea más conocida. Después de que mr.d0x escribiera sobre la técnica, un pequeño coro de colegas investigadores comentó sobre la probabilidad de que incluso los usuarios web más experimentados cayesen en la trampa. (mr.d0x ha proporcionado plantillas de prueba de concepto aquí).

«Este ataque de navegador en el navegador es perfecto para el phishing», según un desarrollador escribió. “Si está involucrado en publicidad maliciosa, no lea esto. No queremos darte ninguna idea».

«Ooh, esto es desagradable: el ataque del navegador en el navegador (BITB), una nueva técnica de phishing que permite robar credenciales que incluso un profesional de la web no puede ver», otra persona llamado.

La técnica ya se ha utilizado activamente al menos una vez en la naturaleza. Como informó la empresa de seguridad Zscaler en 2020, los estafadores utilizaron un ataque BitB para robar las credenciales del servicio de distribución de videojuegos Steam.

steam bitb phish

Si bien el método es convincente, tiene algunas debilidades que deberían ofrecer a los visitantes inteligentes una forma infalible de saber que algo anda mal. OAuth real o ventanas de pago son en realidad instancias de navegador separadas distintas de la página principal. Esto significa que un usuario puede arrastrarlos a cualquier lugar, incluso sobre la barra de direcciones de la ventana principal.

real oath window

mr.d0x

Por el contrario, las ventanas de BitB no son una instancia de navegador separada en absoluto. En cambio, son ilustraciones renderizadas a partir de HTML y CSS personalizados e incluidas en la ventana principal. Esto significa que las páginas falsas no pueden cubrir la barra de direcciones de la ventana principal del navegador.

fake oauth window

Desafortunadamente, como señaló mr.d0x, estas verificaciones podrían ser difíciles de enseñar «porque ahora nos estamos alejando del consejo estándar de ‘verificar la URL’. «Enseñan a los usuarios a hacer algo que nunca hacen».

Todos los usuarios deben proteger sus cuentas con autenticación de dos factores. Otra cosa que pueden hacer los usuarios más experimentados es hacer clic derecho en la página emergente y elegir «Inspeccionar». Si la ventana es un engendro de BitB, su URL se codificará en el HTML.

No sería sorprendente descubrir que la técnica BitB se usa más ampliamente, pero la respuesta que recibió mr.d0x muestra que muchos defensores de la seguridad desconocen BitB. Y eso significa que muchos usuarios finales tampoco lo son.

Publicación actualizada para reafirmar el método en el cuarto al último párrafo para detectar páginas BitB.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí