Muitos sites, durante o processo de login, fazem surgir uma nova janela do browser para pedir as credenciais (como na imagem acima, de um login no Dropbox). Há muito que os responsáveis por campanhas de phishing têm tentado criar janelas falsas com aspecto idêntico, e agora esse objectivo pode ser conseguido com facilidade. Há um novo toolkit que facilita a criação de janelas falsas do Chrome, com potencial para enganar até os utilizadores mais desconfiados.
Normalmente estas tentivas de replicar uma janela do browser dentro de uma página web eram facilmente detectadas, mas com esta nova geração de ataques "Browser in the Browser" (BitB) - que recorrem a estes templates falsos de alta qualidade, torna-se extremamente difícil distinguir uma janela falsa (que na verdade não é uma janela mas apenas algo criado pela página de phishing que se estiver a visitar) de uma janela verdadeira:
Como detectar janelas falsas do browser
Podem também fazer um teste bastante simples para denunciar imediatamente estas janelas falsas:
Mais uma razão para usar um gestor de passwords integrado no browser
ResponderEliminarMais uma boa razão para utilizar FIDO U2F/ FIDO2 onde puder... tal ataque não funcionará totalmente, por mais distraído que seja... desde que não aceite introduzir métodos alternativos de segundo factor de autenticação, que é o que normalmente estas páginas falsas utilizam para ultrapassar o FIDO U2F/ FIDO2... mas por outro lado saberão o seu nome de utilizador/ e-mail e senha, e isso permite tentar outro tipo de ataques... logo mesmo sem terem uma autenticação com sucesso, terem sequer esses dados já é problemático por conta dos métodos alternativos de recuperação de contas que normalmente permitem ultrapassar segundos factores de autenticação mais seguros como o FIDO U2F/ FIDO2.
ResponderEliminarExcelente ressalva:
ResponderEliminar"Uma janela legítima poderá ser movida para fora da janela do browser; uma janela falsa não poderá sair de dentro da página que lhe deu origem."