Nova técnica de phishing: ataque do navegador no navegador (BitB)
-
-
Por Leonid Grustniy
Kaspersky Daily
-
Em sua busca incansável pelas credenciais das pessoas, chaves secretas e outras informações valiosas, os cibercriminosos estão continuamente inventando novas maneiras de enganar os usuários. Vale a pena notar que normalmente, por mais sofisticados que esses esquemas se tornem, todos eles são voltados para usuários que baixam a guarda. Se você apenas prestar atenção a alguns detalhes – em primeiro lugar, o endereço do site onde você está sendo solicitado a inserir suas credenciais – você não será vítima de phishing.
Pelo menos, quase sempre é assim. Mas hoje queremos falar sobre um ataque que funciona de maneira diferente, com a URL parecendo correta e segura para a vítima. Vamos dar uma olhada.
Por que existem erros nos endereços de sites de phishing?
Cada endereço de domínio que você vê na barra de endereços é único e sempre é atribuído ao seu proprietário. Se alguém quiser criar um site, primeiro precisa entrar em contato com uma organização especial que registre nomes de domínio. Eles verificarão um banco de dados internacional para garantir que o endereço ainda não tenha sido usado. Se estiver disponível, é atribuído ao requerente.
Isso significa que é impossível registrar um site falso com o mesmo endereço de um site real. No entanto, é bem possível criar um domínio muito semelhante ao de outra pessoa escolhendo uma zona de domínio semelhante: por exemplo, Colômbia (.co) em vez de Canadá (.ca). Mas se você olhar atentamente para o endereço, é fácil identificar.
É por isso que, em vez de registrar domínios, mentes sofisticadas tiveram a ideia de simular uma janela do navegador com o endereço de um site confiável aparecendo em uma página.
O que é um ataque do navegador no navegador?
Este tipo de ataque, que veio a ser conhecido como ataque “browser-in-the-browser” (BitB) foi descrito por um pesquisador de infosec e pentester usando o identificador mr.d0x. Ele percebeu que os meios modernos de criação de sites (ferramentas HTML, CSS e JavaScript) se tornaram tão avançados que podem exibir praticamente qualquer coisa na página: desde campos de qualquer cor ou forma até animações que imitam os componentes móveis da interface. Isso significa que um phisher também pode usá-los para simular uma página completa de um serviço diferente dentro de seu próprio site.
Para o experimento, mr.d0x olhou para janelas de login pop-up. Você provavelmente já as viu: elas aparecem quando você escolhe uma opção como “Fazer login com o Google” ou “Continuar com a Apple” em vez de criar uma conta em um site. Essa opção é conveniente porque você não precisa criar e lembrar uma nova senha ou aguardar links ou códigos de confirmação. Além disso, este método de inscrição é bastante seguro. Quando você pressiona o botão Fazer login com, ele abre a página do serviço relevante no qual você insere suas credenciais, e o site no qual você está acessando com essa opção nunca recebe a senha, nem mesmo temporariamente.
Esta é a janela de login real para um serviço de terceiros
Entra em cena um ataque de navegador no navegador. Funciona assim: os cibercriminosos registram um site usando a técnica clássica de phishing de fazer um clone de um site legítimo. Ou ainda, eles podem escolher um endereço atraente e conteúdo que possa chamar a atenção das vítimas – como ofertas de compras, oportunidades de emprego ou notícias que um usuário possa querer comentar. Os criminosos configuram as coisas para que os visitantes precisem fazer login se quiserem comprar algo, comentar ou acessar outros recursos de seu interesse. Em seguida, os malfeitores adicionam botões que supostamente permitem o login através dos serviços legítimos dos quais desejam coletar senhas.
Se as vítimas clicarem nesse botão, elas verão uma janela de login com a qual estão familiarizadas, como um prompt da Microsoft, Google ou Apple, com o endereço, logotipo e campos de entrada corretos – em suma, todos os componentes da interface que eles estão acostumados a ver. A janela pode até exibir endereços corretos quando os usuários passam o mouse sobre o botão “Log in” e o link “Esqueci a senha”.
O problema é que esta não é uma janela separada de verdade— essa maravilha do engano é roteirizada para aparecer na página que está tentando enganar o usuário. Se você inserir suas credenciais nesta janela, elas não irão para a Microsoft, Google ou Apple, mas sim diretamente para o servidor do cibercriminoso. Aqui você pode ver como essa janela seria.
Como saber se a janela de login é falsa?
Embora não haja nada sobre a falsa janela de login que pareça obviamente falsa, existem maneiras de identificá-la como tal.
As janelas de login reais são janelas do navegador e assim se comportam. Você pode maximizá-las e minimizá-las e movê-las para qualquer lugar na tela. Os pop-ups falsos são vinculados à página em que estão localizados. Eles também podem se mover livremente e cobrir botões e imagens, mas apenas dentro de seus limites, ou seja, dentro da janela do navegador. Eles não podem sair dela. Essa diferença deve ajudá-lo a identificá-los.
Para verificar se o formulário de login na tela é falso, tente o seguinte:
- Minimize a janela do navegador da qual o formulário apareceu. Se o formulário de login que deveria estar em uma janela separada também desaparecer, então é falso. Uma janela real deve permanecer na tela.
- Tente mover a janela de login além da borda da janela original. Uma janela real atravessará facilmente; uma falsa ficaria presa.
Se a janela com o formulário de login se comportar de forma estranha — minimiza com a outra janela, fica parada na barra de endereço ou desaparece sob ela — é porque é falsa e você não deve inserir suas credenciais.
Existe uma maneira mais fácil de me proteger?
O ataque não é tão perigoso quanto pode parecer à primeira vista. Embora seja muito difícil para os humanos identificarem um ataque de navegador no navegador, seu computador pode ajudá-lo. Não importa qual for o script de um site perigoso, o endereço real permanece o mesmo, e é isso que importa para uma solução de segurança.
- Certifique-se de usar um gerenciador de senhas para todas as suas contas. Ele verifica o endereço real da página e nunca insere suas credenciais nos campos de um site desconhecido, por mais legítimo que pareça.
- Instale uma solução de segurança robusta com um módulo antiphishing. Essa solução também verifica o URL para você e o avisará imediatamente se uma página for perigosa.
E, claro, lembre-se de usar a autenticação de dois fatores. Habilite-o sempre que tiver a opção de fazê-lo, inclusive em todas as redes sociais. Então, mesmo que os invasores roubem suas credenciais, eles não poderão acessar sua conta sem um código único, que será enviado a você, não a eles.
Se você deseja uma proteção mais poderosa para suas contas extra valiosas, recomendamos que você use tokens de hardware U2F (o exemplo mais conhecido é o YubiKey). Este sistema verifica não apenas o endereço de um site, mas também se conhece a chave de criptografia. Como resultado, é impossível passar por esse sistema de autenticação, mesmo que o site original e seu gêmeo pareçam idênticos.