Entre o grande número e a crescente sofisticação das campanhas de phishing, ver não deve ser automaticamente acreditar ao navegar online. Um golpe particularmente sorrateiro é um ataque de navegador no navegador (BitB), no qual os agentes da ameaça criam uma janela falsa do navegador que se parece com uma página de login de login único confiável (SSO) dentro de uma sessão real do navegador.
Como usamos SSO para acessar muitas de nossas contas online, talvez não pensemos duas vezes antes de inserir nomes de usuário e senhas nessas páginas falsificadas. Os cibercriminosos contam com isso para roubar credenciais de usuários.
Como funciona um ataque navegador no navegador
Em vez de redirecionar os usuários para um site falsificado, os agentes de ameaças que executam um ataque BitB criam um pop-up falso na página em que você já está (que pode estar configurada para o ataque ou comprometida de alguma forma). Usando HTML, CSS e JavaScript, eles são capazes de criar uma janela de login que se parece exatamente com a real, até o ícone de cadeado e o URL na barra de endereço do pop-up.
Essas janelas de login falsas geralmente aparecem de maneira contínua, como após um clique ou redirecionamento que você espera levar ao SSO. Obviamente, inserir suas credenciais as entrega diretamente aos invasores, que podem usá-las ou vendê-las.
Pop-ups fraudulentos geralmente imitam SSO como Google, Apple e Microsoft, embora possam explorar qualquer portal de login. No início deste ano, pesquisadores da Silent Push identificaram uma campanha de phishing BitB visando usuários do Steam, especificamente aqueles que jogam Counter-Strike 2. Os jogadores viram uma janela pop-up falsa do navegador exibindo a URL do portal Steam real, tornando-os mais propensos a inserir suas credenciais sem suspeita. Os atacantes também apresentavam imagens da equipe de eSports NAVI para dar credibilidade.
Sinais de um golpe BitB
Como os agentes de ameaças são capazes de imitar páginas de login confiáveis, inclusive usando o domínio real na barra de endereço, uma inspeção visual pode não ser suficiente para detectar a fraude. Em vez disso, você precisa interagir com a janela de alguma forma.
O que você acha até agora?
Em muitos casos, um pop-up de SSO genuíno pode ser arrastado para fora da página do navegador em que aparece, então você pode primeiro tentar movê-lo para outro lugar na tela. No entanto, algumas caixas de diálogo SSO são estáticas, portanto, se você não conseguir arrastá-las, tente destacar o URL ou clique no ícone de cadeado para mostrar os detalhes do certificado. Se esses elementos forem falsos, você não conseguirá interagir com eles porque a janela em si é apenas uma imagem.
Esse também é um excelente motivo para usar um gerenciador de senhas seguro para preencher suas credenciais em vez de inseri-las manualmente. Um gerenciador de senhas funcionará apenas no domínio legítimo. Se não for preenchido automaticamente, não o substitua automaticamente – verifique se o pop-up é real.
Você também deve ter uma forma forte de autenticação multifator (MFA) habilitada sempre que possível, para que mesmo que seu nome de usuário e senha sejam comprometidos de alguma forma, os invasores não terão o fator adicional necessário para realmente acessar sua conta. Observe que os hackers ainda podem fazer phishing em algumas formas de autenticação – chaves físicas junto com biometria e chaves de acesso são as opções mais seguras.
