Los ataques de phishing del tipo navegador en el navegador (BitB) están en aumento y los atacantes están reviviendo y perfeccionando la técnica para eludir el escepticismo de los usuarios y los controles de seguridad tradicionales.
Phishing en BitB: peligroso y efectivo
Para el phishing de BitB, los atacantes crean una ventana emergente dentro de una página web real (navegador) mediante HTML, CSS y JavaScript. El objetivo es engañar a los usuarios para que introduzcan sus credenciales de inicio de sesión, haciéndoles creer que están en una página de inicio de sesión legítima.
La técnica se está utilizando para atacar a usuarios de servicios y marcas populares como Microsoft, Facebook, la plataforma de juegos Steam y otros.
Los investigadores de Trellix dicen que, para los usuarios de Facebook, los atacantes están falsificando avisos legales, alertas de «Suspensión de cuenta», correos electrónicos de «Acción requerida» y alertas de «Inicio de sesión no autorizado» para engañar a los usuarios para que visiten las páginas de phishing.
Se sabe que los jugadores en línea se ven atraídos por artículos gratuitos de videojuegos anunciados en videos de YouTube. Es más probable que a los usuarios de Microsoft se les pida que inicien sesión para ver un documento.
Las posibles víctimas suelen ser redirigidas primero a una página CAPTCHA falsa, que sirve como puerta de entrada para que los atacantes evadan el análisis de seguridad automatizado. Al resolverla, los usuarios son redirigidos a la página de phishing real, que suele estar alojada en servicios legítimos de almacenamiento en la nube.
La URL del dominio de phishing puede o no hacer referencia al servicio suplantado, pero la ventana emergente en el navegador muestra lo que parece ser la URL de inicio de sesión real:
Phishing de BitB con temática de Facebook (Fuente: Trellix)
Phishing en BitB con temática de Microsoft (Fuente: Push Security)
Phishing de BitB con temática de Steam (Fuente: Silent Push)
Ese es el objetivo: convencer a los usuarios que confían en esa señal visual de que la página de inicio de sesión es legítima.
Desafortunadamente para aquellos que caen en el truco, las credenciales ingresadas se envían a los atacantes.
Consejos para los usuarios
«Al crear una ventana emergente de inicio de sesión falsa y personalizada dentro del navegador de la víctima, este método aprovecha la familiaridad del usuario con los flujos de autenticación, lo que hace que el robo de credenciales sea casi imposible de detectar visualmente», señalaron los investigadores de Trellix .
Se recomienda a los usuarios y titulares de cuentas que habiliten la autenticación de dos factores (2FA) en sus cuentas (si es posible) y que examinen cuidadosamente todas las ventanas emergentes de inicio de sesión.
Si una ventana emergente de inicio de sesión no ha activado su administrador de contraseñas y no se puede arrastrar fuera del navegador ni minimizar como una ventana real, es probable que se trate de un intento de phishing en el navegador.
Kits de phishing con funcionalidad BITB
El phishing dentro del navegador se basa en el robo de credenciales, un modelo que falla cuando se aplican claves de acceso o autenticación WebAuthn. Si bien no es la solución definitiva, la autenticación resistente al phishing neutraliza eficazmente los ataques BitB que se basan en ventanas de inicio de sesión falsas.
Lamentablemente, la autenticación basada en contraseña sigue siendo muy popular, y configurar páginas de phishing de BitB es cada vez más fácil gracias a los kits PhaaS como Sneaky2FA que agregan esta funcionalidad.
Hay evidencia de que la transición de Sneaky2FA a BiTB podría no ser un cambio aislado. Raccoon0365 es otro servicio PhaaS que ha utilizado la funcionalidad de BITB tras anunciar la incorporación de un minipanel de BITB como parte de una renovación del servicio, señalaron los investigadores de Silent Push a finales del año pasado.
Fuente y redacción: helpnetsecurity.com / Zeljka Zorz
