I metodi di attacco, o più prosaicamente i modi che hanno per fregarti mentre navighi, sono molti e sono in continua evoluzione. Prima dell’avvento dei certificati SSL era difficile distinguere a colpo d’occhio un sito affidabile da uno non, poi nel tempo sono stati aggiunti degli accorgimenti tecnici come “il lucchettino” accanto all’indirizzo web

che viene messo dal browser nel momento in cui i certificati di sicurezza sono a posto, c’è anche la possibilità cliccando sul lucchetto stesso di avere maggiori informazioni

ma l’inventiva dei malfattori della rete (Cos’è un Hacker e cosa un Cracker?: https://short.staipa.it/fbt12) è sempre all’opera ed è bene conoscere un nuovo tipo di attacco che sembra poter bypassare questo genere di controllo ed è sorprendentemente semplice.
Si applica tipicamente a quei siti che chiedono di fare accesso con l’account di un social network o di google. Il classico “Accedi con Facebook” o “Accedi con Google”. Normalmente questi siti aprono una piccola finestra popup in cui inserire i dati.

L’attacco “Browser in the Browser” è piuttosto semplice. Il sito apre un popup simile a questo, in cui però la finestra del browser viene ridotta in modo da non mostrare l’indirizzo web e il famoso lucchetto. Al suo posto però viene messa un’immagine che rappresenta esattamente il lucchetto e l’indirizzo del sito facendo risultare visivamente indistinguibile la finestra falsa da una vera. La vittima inserirà quindi i dati e questi verranno salvati dall’attaccante.
Questo tipo di attacco è già stato usato almeno una volta per rubare utenze della piattaforma di giochi Steam (https://short.staipa.it/7mz6k)
In questo video vengono spiegati tutti i semplici passaggi per creare un sito che rubi una password con questo sistema, e può essere utile per capirne meglio la tecnica.
Una tecnica per scoprire questo genere di attacco è quella di ricordarsi ogni volta che appare una simile finestra di spostarla con il mouse e provare a mandarla in secondo piano dietro alla finestra principale. Se è una finestra popup vera sarà possibile farlo, altrimenti no.
Lascia un commento