Browser in Browser
Hola, esta semana os quiero llamar la atención sobre un problema de seguridad que creo importante y con un poco de atención podemos evitar caer en ello, aunque aún no sea algo que se este explotando.
El efecto es descrito en este articulo, https://mrd0x.com/browser-in-the-browser-phishing-attack/ donde se muestra lo simple que se puede hacer y como reconocer si estamos realmente en la web correcta cuando. usamos autenticación basada en Google, Facebook, etc,
El phishing es uno de los problemas que nos acompaña cada vez que visitamos un enlace que nos llega por email o simplemente desde una red social.
Phishing es un término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace). 12
Para realizar el engaño, habitualmente se hace uso de la ingeniería social explotando los instintos sociales de la gente,3 como es de ayudar o ser eficiente. También mediante la adulación de la víctima, explotando su intrínseca vanidad o necesidad de ser reconocido, baja autoestima, o una persona que busca trabajo. Por ejemplo, enviando correos electrónicos o mostrando publicidades a la víctima diciéndole que ha ganado un premio y que siga un enlace para recibirlo, siendo aquellas promesas falsas (un cebo). A veces también se hace uso de procedimientos informáticos que aprovechan vulnerabilidades. Habitualmente el objetivo es robar información pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes.4
Ahora bien, el efecto browser in browser consiste en que se realiza una copia de la web de autenticación, introduciendo código falso que nos lleva a ver todo como si fuera correcto, pero en realidad estamos observando una página web falsa...
Como podemos observar del video de YouTube la clave esta en el comportamiento de la ventana de autenticación, ya que la original procede de una nueva ventana del browser que flota sobre la web original, mientras que la falsa no puede escapar del contexto de la web original.
Bien, esto nos muestra que no solo debemos dar como válido la URL del sitio donde conectamos, sino que también debemos de considerar el comportamiento de la ventana de autenticación. El comportamiento de estas ventanas nos dan un indicio de si provienen del sitio oficial o estamos frente a contenido falso, aunque en este caso pueda ser una prueba de concepto, hay que estar atentos.
Saludos,
Pedro.