Il phishing continua a evolversi e con questa tecnica diventa ancora più difficile da riconoscere. Scopri come!
Siamo abituati a pensare al phishing come a dei messaggi scritti male, pieni di errori, o a dei siti che appaiono falsi anche a prima vista. Purtroppo, la situazione sta cambiando e i cybercriminali hanno un nuovo strumento che rende più subdoli ed efficaci gli attacchi di phishing.
Uno sviluppatore che si fa chiamare mr.d0x ha dimostrato che è possibile simulare una finestra SSO all’interno di una pagina di phishing per rassicurare le vittime e convincerle a inserire i propri dati di accesso. Questa tecnica è possibile grazie alla potenza degli strumenti di web design odierni e al codice JavaScript.
Di cosa si tratta esattamente e come funziona? Cosa possiamo fare per proteggerci? È possibile riconoscere queste finestre fasulle? Continua a leggere!
L’attacco browser in the browser simula una nuova finestra tramite un popup interno a quella di origine.
Browser in the browser
Mr.d0x ha chiamato questo tipo di attacco “browser in the browser”, letteralmente “il browser nel browser”, perché simula una nuova finestra tramite un popup interno a quella di origine. Vediamo nel dettaglio come funziona questo tipo di attacco.
Il phisher crea una pagina falsa che attira l’attenzione delle vittime con i soliti pretesti: offerte vantaggiose, premi, annunci di lavoro, presunti messaggi della Pubblica Amministrazione e così via. Poi, per massimizzare le probabilità di ingannare gli utenti, invece di chiedere di effettuare il login, può impostare l’apertura di un popup che assomiglia in tutto e per tutto a una finestra di SSO (vedi qui sul sito di mr.d0x).
L’SSO, Single Sign On, è un metodo di autenticazione di terze parti considerato sempre meno sicuro, ma ancora molto utilizzato per la sua comodità: basta aver eseguito l’accesso a Google o, ad esempio, al proprio account Apple, per poi accedere ad altri siti e servizi senza dover creare nuovi profili, aspettare email di conferma e così via.
Inoltre, mostrare un popup di SSO contribuisce a ingannare le vittime perché sfrutta l’autorità e l’affidabilità dei grandi servizi di terze parti come Google o Facebook.
LEGGI ANCHE: Attacchi zero click, l’incubo della sicurezza informatica
Qui è dove entrano in gioco gli strumenti di web design, che tramite i fogli di stile e l’HTML5 consentono a chiunque di ricreare facilmente l’aspetto di una finestra legittima. L’inganno, però, non sarebbe completo senza l’uso “creativo” del codice JavaScript, che consente di programmare l’apertura del popup in base a determinate azioni e su certi dispositivi.
Il risultato è che la vittima non capisce di essere di fronte a un popup invece di una finestra SSO legittima, e inserisce le credenziali per eseguire l’accesso di terze parti.
Attacchi difficili da riconoscere
Tutti questi elementi fanno sì che sia più difficile riconoscere un attacco browser in the browser: il sito ingannevole è ben fatto, la finestra popup è del tutto simile a quelle legittime per l’accesso SSO, i messaggi e i testi sono scritti con cura e non contengono i soliti errori grammaticali grossolani.
Ma allora come si fa a proteggersi e rilevare questo tipo di attacchi? Innanzitutto, dobbiamo ricordare che vale il principio di base di protezione dal phishing: se una cosa sembra troppo bella per essere vera, probabilmente non lo è. Dobbiamo diffidare e verificare le informazioni che troviamo online prima di inserire dati e credenziali.
Se la comunicazione di un sito o di un’email fa leva sull’urgenza, su potenziali conseguenze catastrofiche o, al contrario, sulla promessa di grandi guadagni e premi, quasi sicuramente si tratta di phishing, o quanto meno di pubblicità ingannevole.
Vale il principio di base della protezione dal phishing: se una cosa sembra troppo bella per essere vera, probabilmente non lo è.
Strumenti di difesa
Poi, esistono alcuni strumenti che ci aiutano a navigare sicuri e impedire agli attacchi browser in the browser di andare a segno:
- Usa un password manager. I software non confondono i finti popup con le vere finestre e distinguono i domini attendibili da quelli falsi. Se il tuo password manager non compila automaticamente i campi di un login, fai molta attenzione perché potrebbe trattarsi di una schermata di phishing.
- Imposta l’autenticazione a 2 fattori per tutti i siti e i servizi. In questo modo, i tuoi account saranno al sicuro anche se dovessi inserire le tue credenziali su un sito di phishing o se dovessi cadere in un attacco browser nel browser.
- Installa un ad blocker per bloccare anche annunci, popup e script. Queste piccole estensioni per i browser non sono accettate da molti portali informativi (che vivono grazie alla pubblicità), ma nel frattempo ti proteggono dall’apertura di finestre e popup indesiderati, reindirizzamenti ingannevoli e così via.
Come abbiamo visto, la sofisticazione degli strumenti di sviluppo web e del codice JavaScript permettono ormai ai phisher di lanciare attacchi di alto livello, difficili da rilevare e prevenire. Per fortuna, grazie all’uso di alcuni strumenti e al buon senso, possiamo sventare anche gli attacchi browser in the browser e rimanere relativamente al sicuro.
Per un ulteriore livello di protezione per tutti i tuoi account e dispositivi, ti consigliamo di scaricare la nostra suite di cybersicurezza.
CONTINUA A LEGGERE: Come fare per sapere se uno short link è sicuro
Buona navigazione e buona protezione dagli attacchi browser nel browser!