Como bien sabemos, los ataques de ingeniería social están en continua evolución. Con el fin de hacer que las víctimas caigan en el cebo, los atacantes exprimen su ingenio en búsqueda de técnicas más eficaces y difíciles de detectar. El 15 de marzo de 2022 se dió a conocer una técnica que da «una vuelta de tuerca» al phishing «tradicional». Esta técnica la describe en su blog un investigador de ciberseguridad cuyo A.K.A. es mr.d0x. Aquí dejamos enlace a su cuenta de Twitter y al artículo en el que describe esta novedosa y poderosa técnica.
Está técnica se denomina Browser in the Browser (BITB), una técnica novedosa de phishing, donde el atacante buscará explotar el ataque aprovechando las opciones de inicio de sesión único (SSO) integradas en diferentes sitios web. (Son aquellas que muestran “Iniciar sesión con Google” “Sign in with Facebook”, …etc) Estas opción de SSO genera un pop-up para que hagamos login, a través de nuestra cuenta de un tercero (Google, Facebook,…etc).
En imagen vemos el comportamiento normal que sucede cuando nos queremos loguear en Canva utilizando Google. Como se puede observar, en la pantalla de Canva, se ofrece la opción de continuar con diferentes servicios, y al elegir uno se desplegará una ventana emergente, en la que se procede a autenticarse.
Para realizar el ataque Browser in the Browser, el atacante replicará una ventana emergente similar (y fraudulenta) a la que sale cuando damos a iniciar sesión con SSO y de esta forma a partir del pop-up de login ilegítimo, robar las credenciales. Su apariencia, puede ser exactamente idéntica a un pop-up de login legítimo (Incluyendo la URL), lo que hace que este ataque sea muy complicado de detectar. De cierta forma, este ataque es un phishing dentro de otro phishing, ya que el pop-up ilegítimo saltará tras indicar que queremos loguearnos dentro de otra página ilegítima proporcionada por el atacante. A “grosso modo” podríamos decir que este ataque es similar al phishing “tradicional” pero haciendo login a través de SSO.
Según mrd0x afirma en su artículo, la URL es uno de los aspectos que hace más creíble un dominio. Es habitual y en muchos casos eficaz, comprobar la URL para saber si la página en cuestión es la que aparenta ser. Esto fue lo que le llevó a investigar sobre la búsqueda de una técnica donde la URL sea real (aparentemente) y una víctima pueda introducir sus credenciales con tranquilidad, o mejor dicho, falsa tranquilidad.
Con el propósito de realizar la POC, mrd0x, deja unas plantillas en su Github para que se pueda probar el ataque (¡DISCLAIMER! En entornos de prueba controlados). Como se puede ver, en el código y en la parte superior del pop-up tanto el título de la página, como el dominio y su ruta, son variables en las que se podrán poner unos valores idénticos a los legítimos haciendo que la víctima tenga una falsa sensación de seguridad e introduzca sus credenciales.
Desde el HTML, se puede cambiar la URL de forma muy sencilla, y como se puede ver es posible poner lo que se quiera. Para buscar realismo, simplemente bastará con visitar alguna página en la que se genere el pop-up legítimo y copiar la URL para adaptarla.
Si queremos ver la falsa sensación de seguridad que se puede tener al estar siendo víctimas de este ataque, tenemos la siguiente comparativa. Esta imagen es una prueba que mrd0x realizó para mostrar que con esta técnica las ventanas emergentes serán idénticas.
Esta técnica hace más complicado de detectar un caso de phishing, y por tanto hace que aumente su efectividad. Es por ello, que el MFA( Multi factor authentication) gana importancia tenerlo aplicado. Tener más de un factor de autenticación salvará los muebles (una vez más).
Y como siempre, en estos ataques de ingeniería social, es muy importante la concienciación, y el sentido crítico para no caer en la trampa. Precisamente por aquí viene la que aparentemente sobre el papel es la gran limitación de esta técnica, y es que para llegar a esta ventana emergente indetectable previamente tendríamos que haber caído en un link sospechoso de los de siempre, es decir, el poder de esta técnica se sufriría una vez ya se pique en la trampa del primer link. Eso sí, no hay que confiarse ya que es una técnica novedosa y en la que hay que seguir investigando para conocer su comportamiento en diferentes escenarios.
Concienciación!!
