Muitos sites, durante o processo de login, fazem surgir uma nova janela do browser para pedir as credenciais (como na imagem acima, de um login no Dropbox). Há muito que os responsáveis por campanhas de phishing têm tentado criar janelas falsas com aspecto idêntico, e agora esse objectivo pode ser conseguido com facilidade. Há um novo toolkit que facilita a criação de janelas falsas do Chrome, com potencial para enganar até os utilizadores mais desconfiados.
Normalmente estas tentivas de replicar uma janela do browser dentro de uma página web eram facilmente detectadas, mas com esta nova geração de ataques "Browser in the Browser" (BitB) - que recorrem a estes templates falsos de alta qualidade, torna-se extremamente difícil distinguir uma janela falsa (que na verdade não é uma janela mas apenas algo criado pela página de phishing que se estiver a visitar) de uma janela verdadeira:
Este tipo de ataque não é novo. Já há alguns anos tinha surgido um ataque deste tipo a fazer-se passar por uma janela de login no Steam. A diferença é que a disponibilização deste toolkit vem permitir que muitos mais atacantes tenham possibilidade de criar janelas falsas com aparência bem credível. Importa por isso redobrar a "paranóia" sempre que algo parecer minimamente estranho, e desconfiar até quando as coisas parecerem normais. De preferência, nunca fazer qualquer login a não ser a partir do site oficial do serviço, e ter sempre cuidado redobrado sempre que isso surgir a partir de um clique num link ou botão numa página de outros sites.
Como detectar janelas falsas do browser
Podem também fazer um teste bastante simples para denunciar imediatamente estas janelas falsas:Bastará moverem a janela de login para fora da área da janela do site que lhe deu origem. Uma janela legítima poderá ser movida para fora da janela do browser; uma janela falsa não poderá sair de dentro da página que lhe deu origem.
Mais uma razão para usar um gestor de passwords integrado no browser
ResponderEliminarMais uma boa razão para utilizar FIDO U2F/ FIDO2 onde puder... tal ataque não funcionará totalmente, por mais distraído que seja... desde que não aceite introduzir métodos alternativos de segundo factor de autenticação, que é o que normalmente estas páginas falsas utilizam para ultrapassar o FIDO U2F/ FIDO2... mas por outro lado saberão o seu nome de utilizador/ e-mail e senha, e isso permite tentar outro tipo de ataques... logo mesmo sem terem uma autenticação com sucesso, terem sequer esses dados já é problemático por conta dos métodos alternativos de recuperação de contas que normalmente permitem ultrapassar segundos factores de autenticação mais seguros como o FIDO U2F/ FIDO2.
ResponderEliminarExcelente ressalva:
ResponderEliminar"Uma janela legítima poderá ser movida para fora da janela do browser; uma janela falsa não poderá sair de dentro da página que lhe deu origem."