{"id":19354,"date":"2022-04-29T16:06:07","date_gmt":"2022-04-29T19:06:07","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19354"},"modified":"2022-04-29T16:08:56","modified_gmt":"2022-04-29T19:08:56","slug":"browser-in-the-browser-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/browser-in-the-browser-attack\/19354\/","title":{"rendered":"Nova t\u00e9cnica de phishing: ataque do navegador no navegador (BitB)"},"content":{"rendered":"

Em sua busca incans\u00e1vel pelas credenciais das pessoas, chaves secretas<\/a> e outras informa\u00e7\u00f5es valiosas, os cibercriminosos est\u00e3o continuamente inventando novas maneiras de enganar os usu\u00e1rios. Vale a pena notar que normalmente, por mais sofisticados que esses esquemas se tornem, todos eles s\u00e3o voltados para usu\u00e1rios que baixam a guarda. Se voc\u00ea apenas prestar aten\u00e7\u00e3o a alguns detalhes \u2013 em primeiro lugar, o endere\u00e7o do site onde voc\u00ea est\u00e1 sendo solicitado a inserir suas credenciais \u2013 voc\u00ea n\u00e3o ser\u00e1 v\u00edtima de phishing.<\/p>\n

Pelo menos, quase sempre \u00e9 assim. Mas hoje queremos falar sobre um ataque que funciona de maneira diferente, com a URL parecendo correta e segura para a v\u00edtima. Vamos dar uma olhada.<\/p>\n

Por que existem erros nos endere\u00e7os de sites de phishing?<\/h2>\n

Cada endere\u00e7o de dom\u00ednio que voc\u00ea v\u00ea na barra de endere\u00e7os \u00e9 \u00fanico e sempre \u00e9 atribu\u00eddo ao seu propriet\u00e1rio. Se algu\u00e9m quiser criar um site, primeiro precisa entrar em contato com uma organiza\u00e7\u00e3o especial que registre nomes de dom\u00ednio. Eles verificar\u00e3o um banco de dados internacional para garantir que o endere\u00e7o ainda n\u00e3o tenha sido usado. Se estiver dispon\u00edvel, \u00e9 atribu\u00eddo ao requerente.<\/p>\n

Isso significa que \u00e9 imposs\u00edvel registrar um site falso com o mesmo endere\u00e7o de um site real. No entanto, \u00e9 bem poss\u00edvel criar um dom\u00ednio muito semelhante ao de outra pessoa escolhendo uma zona de dom\u00ednio semelhante: por exemplo, Col\u00f4mbia (.co) em vez de Canad\u00e1 (.ca). Mas se voc\u00ea olhar atentamente para o endere\u00e7o, \u00e9 f\u00e1cil identificar.<\/p>\n

\u00c9 por isso que, em vez de registrar dom\u00ednios, mentes sofisticadas tiveram a ideia de simular<\/strong>\u00a0uma janela do navegador com o endere\u00e7o de um site confi\u00e1vel aparecendo em uma p\u00e1gina.<\/p>\n

O que \u00e9 um ataque do navegador no navegador?<\/h2>\n

Este tipo de ataque, que veio a ser conhecido como ataque \u201cbrowser-in-the-browser\u201d (BitB) foi descrito por um pesquisador de infosec e pentester<\/a> usando o identificador mr.d0x<\/a>. Ele percebeu que os meios modernos de cria\u00e7\u00e3o de sites (ferramentas HTML, CSS e JavaScript) se tornaram t\u00e3o avan\u00e7ados que podem exibir praticamente qualquer coisa na p\u00e1gina: desde campos de qualquer cor ou forma at\u00e9 anima\u00e7\u00f5es que imitam os componentes m\u00f3veis da interface. Isso significa que um phisher tamb\u00e9m pode us\u00e1-los para simular uma p\u00e1gina completa de um servi\u00e7o diferente dentro de seu pr\u00f3prio site.<\/p>\n

Para o experimento, mr.d0x olhou para janelas de login pop-up. Voc\u00ea provavelmente j\u00e1 as viu: elas aparecem quando voc\u00ea escolhe uma op\u00e7\u00e3o como \u201cFazer login com o Google\u201d ou \u201cContinuar com a Apple\u201d em vez de criar uma conta em um site. Essa op\u00e7\u00e3o \u00e9 conveniente porque voc\u00ea n\u00e3o precisa criar e lembrar uma nova senha ou aguardar links ou c\u00f3digos de confirma\u00e7\u00e3o. Al\u00e9m disso, este m\u00e9todo de inscri\u00e7\u00e3o \u00e9 bastante seguro. Quando voc\u00ea pressiona o bot\u00e3o Fazer login com<\/em>, ele abre a p\u00e1gina do servi\u00e7o relevante no qual voc\u00ea insere suas credenciais, e o site no qual voc\u00ea est\u00e1 acessando com essa op\u00e7\u00e3o nunca recebe a senha, nem mesmo temporariamente.<\/p>\n

\"Esta

Esta \u00e9 a janela de login real para um servi\u00e7o de terceiros<\/p><\/div>\n

Entra em cena um ataque de navegador no navegador. Funciona assim: os cibercriminosos registram um site usando a t\u00e9cnica cl\u00e1ssica de phishing de fazer um clone de um site leg\u00edtimo. Ou ainda, eles podem escolher um endere\u00e7o atraente e conte\u00fado que possa chamar a aten\u00e7\u00e3o das v\u00edtimas \u2013 como ofertas de compras, oportunidades de emprego ou not\u00edcias que um usu\u00e1rio possa querer comentar. Os criminosos configuram as coisas para que os visitantes precisem fazer login se quiserem comprar algo, comentar ou acessar outros recursos de seu interesse. Em seguida, os malfeitores adicionam bot\u00f5es que supostamente permitem o login atrav\u00e9s dos servi\u00e7os leg\u00edtimos dos quais desejam coletar senhas.<\/p>\n

Se as v\u00edtimas clicarem nesse bot\u00e3o, elas ver\u00e3o uma janela de login com a qual est\u00e3o familiarizadas, como um prompt da Microsoft, Google ou Apple, com o endere\u00e7o, logotipo e campos de entrada corretos \u2013 em suma, todos os componentes da interface que eles est\u00e3o acostumados a ver. A janela pode at\u00e9 exibir endere\u00e7os corretos quando os usu\u00e1rios passam o mouse sobre o bot\u00e3o \u201cLog in\u201d e o link \u201cEsqueci a senha\u201d.<\/p>\n

O problema \u00e9 que esta n\u00e3o \u00e9 uma janela separada de verdade\u2014 essa maravilha do engano \u00e9 roteirizada para aparecer na p\u00e1gina que est\u00e1 tentando enganar o usu\u00e1rio. Se voc\u00ea inserir suas credenciais nesta janela, elas n\u00e3o ir\u00e3o para a Microsoft, Google ou Apple, mas sim diretamente para o servidor do cibercriminoso. Aqui voc\u00ea pode ver como essa janela seria<\/a>.<\/p>\n

Como saber se a janela de login \u00e9 falsa?<\/h2>\n

Embora n\u00e3o haja nada sobre a falsa janela de login que pare\u00e7a obviamente falsa, existem maneiras de identific\u00e1-la como tal.<\/p>\n

As janelas de login reais s\u00e3o janelas do navegador e assim se comportam. Voc\u00ea pode maximiz\u00e1-las e minimiz\u00e1-las e mov\u00ea-las para qualquer lugar na tela. Os pop-ups falsos s\u00e3o vinculados \u00e0 p\u00e1gina em que est\u00e3o localizados. Eles tamb\u00e9m podem se mover livremente e cobrir bot\u00f5es e imagens, mas apenas dentro de seus limites, ou seja, dentro<\/strong>\u00a0da janela do navegador. Eles n\u00e3o podem sair dela. Essa diferen\u00e7a deve ajud\u00e1-lo a identific\u00e1-los.<\/p>\n

Para verificar se o formul\u00e1rio de login na tela \u00e9 falso, tente o seguinte:<\/p>\n