Eine neuartige Phishing-Technik namens Browser-in-the-Browser (BitB)-Angriff kann ausgenutzt werden, um ein Browserfenster innerhalb des Browsers zu simulieren, um eine legitime Domain zu fälschen und so überzeugende Phishing-Angriffe zu inszenieren.
Laut dem Penetrationstester und Sicherheitsforscher mrd0x (Twitter) macht sich die Methode die Single Sign-On (SSO)-Optionen von Drittanbietern zunutze, die in Websites wie „Sign in with Google“ (oder Facebook, Apple oder Microsoft) eingebettet sind.
Wenn ein Benutzer versucht, sich über diese Methoden anzumelden, wird er standardmäßig von einem Pop-up-Fenster begrüßt, um den Authentifizierungsprozess abzuschließen. Der BitB-Angriff zielt darauf ab, diesen gesamten Prozess mit einer Mischung aus HTML- und CSS-Code zu replizieren, um ein komplett gefälschtes Browserfenster zu erstellen.
„Kombiniert man das Fensterdesign mit einem Iframe, der auf den bösartigen Server verweist, der die Phishing-Seite hostet, ist es im Grunde ununterscheidbar“, so mrd0x in einem technischen Bericht, der letzte Woche veröffentlicht wurde. „JavaScript kann leicht eingesetzt werden, um das Fenster beim Klick auf einen Link oder eine Schaltfläche, beim Laden der Seite usw. erscheinen zu lassen.
Interessanterweise wurde diese Technik schon mindestens einmal in freier Wildbahn missbraucht. Im Februar 2020 enthüllte Zscaler Details einer Kampagne, die den BitB-Trick nutzte, um Zugangsdaten für den digitalen Videospielvertrieb Steam mit Hilfe von gefälschten Counter-Strike: Global Offensive (CS: GO) Webseiten.
„Normalerweise prüft ein Benutzer, ob die URL legitim ist, ob die Website HTTPS verwendet und ob die Domain ein Homogramm enthält“, sagte Zscaler-Forscher Prakhar Shrotriya damals.
„In diesem Fall sieht alles gut aus, da die Domain steamcommunity[.]com legitim ist und HTTPS verwendet. Aber wenn wir versuchen, diese Eingabeaufforderung aus dem aktuell verwendeten Fenster zu ziehen, verschwindet sie über den Rand des Fensters hinaus, da es sich nicht um ein legitimes Browser-Pop-up handelt und mit HTML im aktuellen Fenster erstellt wird.“
Obwohl diese Methode die Durchführung effektiver Social-Engineering-Kampagnen erheblich erleichtert, ist es wichtig zu wissen, dass potenzielle Opfer auf eine Phishing-Domain umgeleitet werden müssen, die ein solches gefälschtes Authentifizierungsfenster anzeigen kann, um Anmeldedaten zu sammeln.
„Sobald sie aber auf der Website des Angreifers gelandet sind, können sie ihre Anmeldedaten auf der scheinbar legitimen Website eingeben (weil die vertrauenswürdige URL das so vorgibt)“, fügt mrd0x hinzu.