Os criminosos estão sempre à procura de novas formas de poderem enganar as suas vitimas, sobretudo em esquemas online. Se existe um lado que se tenta proteger de ataques, do outro existem criminosos que tentam explorar o máximo das vitimas – sempre a criar novas formas para tal.
E uma das mais recentes que pode vir a começar a verificar-se mais no mercado tem um grande potencial para enganar as vitimas mais atentas. Um novo esquema de phishing tem vindo a propagar-se de forma bastante alargada, e pode enganar até os utilizadores mais atentos por este género de esquemas.
Muitas plataformas online possuem sistemas de autenticação SSO, que normalmente são associados a plataformas sociais. Por exemplo, um utilizador do Dropbox pode usar a sua conta da Google ou da Apple para mais rapidamente entrar na sua conta da Dropbox.
Para realizar este login, normalmente as plataformas abrem uma pequena janela que redireciona os utilizadores para os sites legítimos – seja para aceitar as permissões de login ou para introduzir os dados das suas contas nessas plataformas.
No entanto, é exatamente neste ponto que existe uma potencial falha que pode ser explorada por criminosos.
Com um pouco de código HTML, CSS e Javascript, os criminosos podem criar falsas janelas de login, que aparentem ser janelas de login em “pop up” sobre os sites, mas que são na realidade falsos formulários para introduzir os dados.
Ou seja, as vítimas podem acabar por ser questionadas para introduzirem os dados de login de uma conta no que aparenta ser uma janela legitima do navegador, mas é na verdade uma adaptação falsa dos mesmos criada dentro do próprio site de phishing.
Esta prática não é propriamente nova, sendo conhecida como ataque “Browser in the Browser (BitB)”. No entanto, recentemente o investigador de segurança mr.d0x criou recentemente o que podem ser os templates mais legítimos que existem deste género de ataque – exatamente para demonstrar o perigo deste género de ataques.
Por exemplo, veja as duas imagens em seguida, que representam uma janela de pop-up para login no Facebook, e que pode surgir quando se usa o sistema de login da plataforma. Se não tivesse a indicação, possivelmente não seria capaz de distinguir diferenças entre a versão falsa e a legitima.
Como referido anteriormente, este género de ataques não é novo. Na verdade, esquemas no passado tentaram tirar proveito exatamente do mesmo. Um dos exemplos mais comuns encontra-se sobre a Steam, onde existem vários esquemas que pretendem levar os utilizadores a realizarem o login nas suas contas, mas no que é uma janela falsa do navegador para tal.
Este método pode enganar até os utilizadores mais atentos, uma vez que as janelas criadas podem ser praticamente idênticas às usadas pelo navegador. A única forma de se poder validar se são ou não falsas será tentando mover as mesmas para “fora” da área do site – como são código dentro do site, não vai conseguir mover as mesmas para outras zonas ou sobrepor ao restante navegador.
Nenhum comentário
Seja o primeiro!