Browser in the Browser (BITB), una nueva técnica de phishing

Nadie duda de los beneficios que ofrece Internet, pero también de los muchos riesgos a los que estamos sometidos los usuarios si no tenemos cierto cuidado a la hora de movernos por la red. Los ataques mediante ingeniería social suelen ser los que más problemas dan, ya que están en continua evolución con el fin de que las víctimas caigan en sus redes. Recientemente, en el portal mrd0x se dio a conocer una nueva técnica de phishing que hace que sea más complicado detectar el ataque. Esta nueva técnica ha sido bautizada con el nombre de Browser in the Browser.

Una técnica muy novedosa

Lo novedoso de la técnica Browser in the Browser, lo encontramos en que el atacante buscará explotar el ataque aprovechando las opciones de inicio de sesión único (SSO) que nos podemos encontrar en cualquier página web, aquellas que muestran iniciar sesión con Google, Facebook o similares. Estas opción de SSO genera un pop-up que es el que utilizamos para loguearnos por medio de una cuenta de terceros.

ataque browser in the browser

A la hora de realizar el ataque, el atacante replicará esa ventana emergente que aparece cuando vamos a inicia sesión mediante SSO, una ventana ilegítima pensada para robar las credenciales del usuario. El problema de que sea muy complicado de detectar es que esas ventanas pueden ser exactamente idénticas, incluyendo la URL.

El nombre Browser in the Browser viene de que es un ataque phishing dentro de otro phishing, ya que el pop-up saltará tras indicar que queremos loguearnos dentro de otra página ilegítima. En el vídeo que os dejamos a continuación podéis ver cómo sería su funcionamiento.

Según la publicación realizada en el portal mrdOx, la URL es un de los puntos que hace más creíble un dominio. Es importante analizar esa URL para saber si la página en cuestión es la que debería ser.

Para todos aquellos que quieran probar cómo funciona, mrdOx ha compartido una serie de plantillas en su Github que se pueden utilizar, pero siempre en entornos de prueba controlados.

Ir arriba