Una nuova e subdola tecnica di phishing sta scuotendo il web. Come riconoscerla e come evitarla.
Nell’epoca moderna prestare attenzione alle proprie sessioni di navigazione sul web è divenuta un’attività imprescindibile.
Questo perché l’accesso a internet si è diffuso a macchia d’olio, raggiungendo anche chi di informatica non ne ha mai masticato, laddove sino a una trentina di anni fa era ad appannaggio di pochi eletti.
Ciò ha favorito la proliferazione dei cybercriminali, specialmente se teniamo conto che la maggior parte delle nostre attività, come le transazioni o l’accesso ad un servizio bancario, avviene proprio tramite la rete.
- URL e dominio: due elementi da tenere sotto controllo
- Come funziona l’attacco browser-in-the browser
- Come riconoscere le false finestre di login
- Consigli su come proteggersi efficacemente
È importante tenere conto che costoro non si fermeranno mai nella loro ricerca di credenziali, codici sorgente e metodi per violare anche il sistema di difesa più sofisticato. A farne le spese sono sempre coloro che pongono la propria sicurezza online tra gli elementi da non considerare.
La tecnica più diffusa per far cadere nella propria trappola gli utenti meno attenti è il phishing, il quale ha subito svariate evoluzioni nel corso degli anni.
Se per metterlo in atto all’alba di internet si ricorreva alla pagina web clonata, successivamente si è passati alla tecnica del man-in-the-browser, sino a giungere alla sua diretta evoluzione: il browser-in-the-browser.
Ma andiamo con ordine e vediamo insieme di cosa si tratta.
URL e dominio: due elementi da tenere sotto controllo
Nel momento in cui accediamo ad un sito web, ci accorgiamo della presenza di un URL nella barra degli indirizzi.
L’URL è univoco ed è associato ad un proprietario ben definito. In genere la creazione di un sito web parte con la registrazione di un dominio, il quale viene regolarmente acquistato tramite aziende specializzate che si occupano anche di verificare la disponibilità dell’indirizzo, ovvero che non sia già stato acquistato da un altro richiedente. Questo meccanismo rende impossibile registrare un sito web falso con lo stesso dominio di quello che si intende clonare. Ciò a cui si deve prestare attenzione è il dominio, poiché esso è facilmente simulabile e solo con un po’ di attenzione in più è possibile notare la differenza.
Il principio di funzionamento del browser-in-the-browser è proprio questo: simulare la finestra stessa del browser con un dominio molto simile a quello a cui siamo collegati, spacciandosi così per un sito web affidabile e a noi familiare.
Come funziona l’attacco browser-in-the browser
L’attacco browser-in-the-browser è stato portato alla luce per la prima volta il 15 marzo 2022 da parte di mr.d0x, un pentester con alle spalle una notevole esperienza nel settore.
Al tempo venne constatato come i moderni strumenti e linguaggi per il web development, come JavaScript e HTML5, permettano di visualizzare un gran numero di elementi con svariati effetti grafici accattivanti.
Ciò significa che nelle giuste mani, essi possono essere in grado di replicare in tutto e per tutto aspetto e comportamento di una qualsiasi pagina web già esistente.
Il test condotto da mr.d0x ha portato alla luce una verità scomoda:
il browser-in-the-browser avviene in fase di login, quando l’utente presta meno attenzione al dominio a cui è connesso, poiché impegnato a ricordare le proprie credenziali di accesso, o al fornirle mediante l’autenticazione con Google, Apple ID…
La seconda modalità di accesso risulta sempre la più comoda e la preferita da parte degli utenti, poiché risulta essere maggiormente sicura, dato che l’autenticazione avviene mediante un sistema certificato che non condivide la password utente con il sito web in uso nemmeno temporaneamente.
Però la trappola sta proprio qui, perché i cybercriminali replicano in toto un sito web legittimo, facendo ricorso dapprincipio alla classica tecnica di phishing, prestando molta cura ad attirare l’attenzione dell’utente, con contenuti che inneggiano ad una possibile vincita, ricompense gratuite, o articoli clickbait.
Tuttavia, i phishers impostano il tutto in modo da costringere l’utente a registrarsi per accedere a quei contenuti. Per cui aggiungono dei pulsanti che solo in teoria rimandano a siti di autenticazione sicuri e certificati, ma che in realtà portano a dei grabber da loro controllati, con cui raccolgono le credenziali immesse dagli utenti. Quando una vittima cade in questa trappola, selezionando il pulsante di registrazione, viene rimandata ad una finestra di login molto familiare, senza sapere che in realtà è in atto un attacco browser-in-the-browser.
A prima vista la nuova finestra è indistinguibile da quelle impiegate solitamente dai servizi offerti da Microsoft, Google, o Apple.
In realtà non rimanda ai servizi certificati di queste compagnie, ma alla trappola vera e propria del cybercriminale.
Come riconoscere le false finestre di login
Una qualsiasi finestra del browser è ridimensionabile, massimizzabile, minimizzabile ed è possibile spostarla a proprio piacimento sullo schermo.
Anche gli eventuali pop-up sono sempre e comunque legati alla finestra di appartenenza: non possono in alcun modo superare i suoi confini.
Durante le sue fasi di testing, mr.d0x ha messo in luce due metodi molto efficaci ed elementari per smascherare una finestra di login falsa.
- Riducendo a icona la finestra del browser, il modulo di login improvvisamente scompare. Ciò indica che la pagina è falsa, poiché in una pagina reale è sempre visibile sullo schermo, dato che è completamente indipendente dalla pagina principale.
- Provando a spostare la finestra di login oltre il bordo della finestra principale, questo in qualche modo si blocca.
Quando ciò accade, vuol dire che la pagina è falsa, poiché il vero modulo di login può superare senza problemi i bordi della pagina madre, essendo indipendente da esso.
Se doveste incappare in comportamenti del genere, o in altri decisamente anomali, significa che la pagina a cui siete stati reindirizzati è falsa e che dovreste allontanarvi da essa il prima possibile.
Consigli su come proteggersi efficacemente
Sebbene il browser-in-the-browser abbia una sua pericolosità, non è in realtà un attacco inaffrontabile.
Nonostante sia difficile per gli utenti meno esperti accorgersi immediatamente di una sua messa in atto, il PC da cui stiamo navigando ci può sensibilmente aiutare.
Questo perché l’indirizzo reale rimane inalterato a prescindere dalla complessità con cui un criminale abbia elaborato l’inganno.
Quello è l’elemento cruciale per salvaguardare le nostre credenziali.
Tra i consigli che vogliamo darvi per incrementare ulteriormente la vostra sicurezza online, troviamo:
- Usare un password manager efficace per l’accesso a tutti i nostri account.
- Verificare sempre l’indirizzo reale della pagina web a cui ci si sta connettendo.
- Non inserire mai le credenziali nei form di un sito sconosciuto, a prescindere che esso risulti legittimo o affidabile.
- Installare un antivirus premium sicuro e affidabile, che integri al suo interno un modulo anti-phishing. Inevitabilmente quest’ultimo interverrà anticipatamente, verificando subito l’URL a cui ci si connette e bloccando immediatamente l’accesso al sito se esso risulterà pericoloso.
- Abilitare sempre e comunque l’autenticazione a due fattori, poiché, anche se malauguratamente un cybercriminale dovesse entrare in possesso delle vostre credenziali, non potrebbe comunque accedere al vostro account, poiché impossibilitato a ottenere il codice di verifica aggiuntivo.
- Autore articolo
- Ultimi articoli
Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.
