“Browser in the Browser” nuova tecnica di attacco

hacker
Tempo di lettura 2 minuti

I metodi di attacco, o più prosaicamente i modi che hanno per fregarti mentre navighi, sono molti e sono in continua evoluzione. Prima dell’avvento dei certificati SSL era difficile distinguere a colpo d’occhio un sito affidabile da uno non, poi nel tempo sono stati aggiunti degli accorgimenti tecnici come “il lucchettino” accanto all’indirizzo web

blank

che viene messo dal browser nel momento in cui i certificati di sicurezza sono a posto, c’è anche la possibilità cliccando sul lucchetto stesso di avere maggiori informazioni

blank

ma l’inventiva dei malfattori della rete (Cos’è un Hacker e cosa un Cracker?: https://short.staipa.it/fbt12) è sempre all’opera ed è bene conoscere un nuovo tipo di attacco che sembra poter bypassare questo genere di controllo ed è sorprendentemente semplice.

Si applica tipicamente a quei siti che chiedono di fare accesso con l’account di un social network o di google. Il classico “Accedi con Facebook” o “Accedi con Google”. Normalmente questi siti aprono una piccola finestra popup in cui inserire i dati.

blank

L’attacco “Browser in the Browser” è piuttosto semplice. Il sito apre un popup simile a questo, in cui però la finestra del browser viene ridotta in modo da non mostrare l’indirizzo web e il famoso lucchetto. Al suo posto però viene messa un’immagine che rappresenta esattamente il lucchetto e l’indirizzo del sito facendo risultare visivamente indistinguibile la finestra falsa da una vera. La vittima inserirà quindi i dati e questi verranno salvati dall’attaccante.

Questo tipo di attacco è già stato usato almeno una volta per rubare utenze della piattaforma di giochi Steam (https://short.staipa.it/7mz6k)

In questo video vengono spiegati tutti i semplici passaggi per creare un sito che rubi una password con questo sistema, e può essere utile per capirne meglio la tecnica.

Una tecnica per scoprire questo genere di attacco è quella di ricordarsi ogni volta che appare una simile finestra di spostarla con il mouse e provare a mandarla in secondo piano dietro alla finestra principale. Se è una finestra popup vera sarà possibile farlo, altrimenti no.

Categorie Articolo: , , , ,
blank

Conferenze

Sono disponibile per l’organizzazione di conferenze su Uso consapevole delle tecnologie, e su Come riconoscere le Fake News, o altri temi analoghi.
Potete contattarmi attraverso i miei contatti su questo sito.

Le conferenze possono essere declinate per formazione per adolescenti, formazione per genitori o formazione per insegnanti.

Potete visitare l’apposita pagina Conferenze e Corsi per maggiori informazioni.

Iscriviti al blog tramite email

Inserisci il tuo indirizzo e-mail per essere avvisato quando verranno create nuove pagine o eventi su staipa.it

Unisciti a 711 altri iscritti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Short link

short.staipa.it/l9rgb

Citazioni a caso

…si domani anch’io sarò soltanto uno che ha smesso di passare in queste strade, uno che altri evocheranno vagamente con un “che ne sarà stato di lui?”. E tutto quanto ora faccio, quanto ora sento e vivo non sarà niente di più che un passante in meno nella quotidianità delle strade di una città qualsiasi.Fernando Pessoa
Il libro dell’inquietudine

Categorie Articoli