Многие наши читатели знают, что означает термин Фишинг. В этой статье мы рассмотрим новую атаку, используемую в фишинге, которая называется «Браузер в браузере».
Как работает атака «Браузер в браузере»
Атака «Browser-in-browser» основывается на том факте, что при входе на сайты зачастую появляется предложение пройти авторизацию с помощью учетной записи различных сервисов, таких как: Google, Twitter, Microsoft, Facebook, Apple, Twitter, Steam и т.д.
При попытке авторизоваться, нажав на соответствующую кнопку (например, «Авторизация с помощью Google») в браузере появится всплывающее окно single-sign-on (SSO), в котором пользователю будет предложено ввести учетные данные. Мы уже рассказывали о подобной атаке в статье «Как угоняют аккаунты Steam в Discord».
По сути, атака «Браузер в браузере» позволяет создавать реалистичные поддельные окна авторизации в браузере. Для этого используются готовые шаблоны фейковых окон.
На изображении ниже показано окно, которое появляется, при попытке войти в сервис Canva, используя свою учетную запись Google.
Воспроизвести весь дизайн окна с помощью базового HTML/CSS довольно просто. Объедините дизайн окна с iframe, указывающим на вредоносный сервер, на котором размещена фейк-страница, и его практически невозможно будет отличить.
На изображении ниже показано поддельное окно и оригинальное. Мало кто заметит различия между ними.
JavaScript можно легко использовать, чтобы окно появлялось при нажатии ссылки или кнопки, при загрузке страницы и т. д. И, конечно же, можно сделать окно визуально привлекательным с помощью анимации, доступной в библиотеках, таких как JQuery.
Наведение курсора на URL-адрес, чтобы определить, является ли он законным, не очень эффективно, когда разрешен JavaScript. HTML для ссылки обычно выглядит так:
|
1 |
<a href="https://gmail.com">Google</a> |
Если добавлено событие onclick, возвращающее false, то при наведении на ссылку сайт будет по-прежнему отображаться в атрибуте href, но при нажатии на ссылку атрибут href игнорируется. Эту технику можно использовать, чтобы сделать всплывающее фейковое окно более реалистичным.
|
1 2 3 4 5 6 |
<a href="https://gmail.com" onclick="return launchWindow();">Google</a> function launchWindow(){ // Launch the fake authentication window return false; // This will make sure the href attribute is ignored } |
Шаблоны для атаки BITB (браузер в браузере)
Вот несколько шаблонов для следующих ОС и браузеров:
- Windows — Chrome (светлый и темный режим)
- Mac OSX — Chrome (светлый и темный режим)
Шаблоны доступны в этом репозитории Github.
Заключение
Целевому пользователю все равно нужно будет зайти на ваш сайт, чтобы всплывающее окно отображалось. Но как только пользователь попадет на сайт, принадлежащий злоумышленнику, он будет чувствовать себя непринужденно, вводя свои учетные данные на том, что кажется законным веб-сайтом (поскольку так указано в надежном URL-адресе).
Как видите, с помощью атаки «Браузер в браузере», можно в разы улучшить результат фишинговой компании.
Полезные ссылки:
