Técnica que usa um navegador dentro de outro, para enganar vítimas, saiba como se proteger

Este artigo explora uma técnica de phishing que simula uma janela do navegador dentro do navegador para falsificar um domínio legítimo .

Introdução

Para profissionais de segurança, a URL geralmente é o aspecto mais confiável de um domínio. Sim, há ataques como IDN Homograph e DNS Hijacking que podem degradar a confiabilidade dos URLs, mas não a ponto de tornar os URLs não confiáveis.

Tudo isso acabou me levando a pensar, é possível tornar o conselho “Verifique a URL” menos confiável? Após uma semana de brainstorming, decidi que a resposta é sim.
Veja abaixo a URL do site:

Demonstração

Janelas de login pop-up

Muitas vezes, quando nos autenticamos em um site via Google, Microsoft, Apple, etc., é fornecida uma janela pop-up que solicita a autenticação. A imagem abaixo mostra a janela que aparece quando alguém tenta fazer login no Canva usando sua conta do Google.

Canva-Login

Replicando a janela

Infelizmente para nós, replicar todo o design da janela usando HTML/CSS básico é bastante simples. Combinando o design da janela com um iframe apontando para o servidor malicioso que hospeda a página de phishing e é basicamente indistinguível. A imagem abaixo mostra a janela falsa comparada com a janela real. Muito poucas pessoas notariam as pequenas diferenças entre os dois.

Real-Falso

O JavaScript pode ser facilmente usado para fazer a janela aparecer em um link ou clique de botão, no carregamento da página etc. E é possível pode fazer a janela aparecer de uma maneira visualmente atraente através de animações disponíveis em bibliotecas como JQuery.

Demonstração

Demo-GIF

URL personalizado ao passar o mouse

Passar o mouse sobre um URL para determinar se ele é legítimo não é muito eficaz quando o JavaScript é permitido. O HTML para um link geralmente se parece com isso:

<a href="https://gmail.com">Google</a>

Se um evento onclick que retorna false for adicionado, passar o mouse sobre o link continuará a mostrar o site no atributo href, mas quando o link for clicado, o atributo href será ignorado. Podemos usar esse conhecimento para tornar a janela pop-up mais realista.

<a href="https://gmail.com" onclick="return launchWindow();">Google</a>

function launchWindow(){
    // Launch the fake authentication window
    return false; // This will make sure the href attribute is ignored
}

Modelos disponíveis

Para fins de demonstração e conscientização foram criados modelos para o seguinte sistema operacional e navegador:

  • Windows – Chrome (modo claro e escuro)
  • Mac OSX – Chrome (modo claro e escuro)

Os templates estão disponíveis no aqui Github.

Conclusão

Com esta técnica, agora podemos melhorar a nossa proteção contra esse tipo de phishing. O usuário de destino ainda precisaria acessar o site malicioso para que a janela pop-up fosse exibida. Mas assim que chegar ao site de propriedade do invasor, o usuário ficará à vontade enquanto digita suas credenciais no que parece ser o site legítimo (porque o URL confiável o induz a isso). Agora você já pode ficar de olho, e sempre ter o costume, por exemplo, de arrastar um possível pop-up de autenticação para fora da janela do navegador!

*Fonte: https://mrd0x.com/
*Alterações no texto foram realizadas pelo time PluggedNinja, a fim de contextualizar e facilitar o entendimento do publico em geral.