Attacco Browser-in-the-browser: analisi del phishing subdolo

La tecnica di phishing più subdola e più apprezzata dai cybercriminali per il furto delle credenziali utente.

Nella loro continua e disperata ricerca di dati sensibili e credenziali di cui appropriarsi, i cybercriminali sono costantemente all’opera per scoprire nuove tecniche per attirare l’utente più incauto nella loro trappola.

Non importa quanto queste possano essere sofisticate, perché alla fine lo scopo sarà sempre quello di far abbassare la guardia a tutti gli internauti. Tale tecnica prende il nome di Browser-in-the-browser e risulta essere quella più difficile da individuare nel momento in cui si accede ad un comune sito internet.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è il Browser-in-the-browser?
Come funziona un attacco Browser-in-the-browser?
Come identificare una finta finestra di login da una legittima?
L’inganno mediante JavaScript

Cos’è il Browser-in-the-browser?

Scoperta nel marzo 2022 dal ben noto ricercatore di sicurezza informatica e pentester mr.d0x, il Browser-in-the-browser (BitB) è una tecnica di attacco che, sfruttando la sovrapposizione di pagine web malevole create ad-hoc su quelle legittime, permette agli attaccanti di appropriarsi delle credenziali degli utenti senza che questi siano in grado di accorgersene.

Nello specifico, si tratta di una tecnica di phishing che mira alle opzioni SSO (Single Sign-On) di terzi incorporate nella stragrande maggioranza dei siti e delle piattaforme online. Il suo metodo d’azione prevede la simulazione di una finestra del browser, contenente un finto form di login, all’interno del browser stesso. Da qui il nome Browser-in-the-browser.

La causa scatenante che fa cadere in trappola l’utente, è proprio legata all’accesso SSO, in quanto offre la possibilità di accedere a servizio di terzi sfruttando le credenziali di un account già esistente, di tipo social logging. Google, Microsoft, Apple, Facebook, Instagram, X e molti altri, sono solo alcuni dei servizi abilitati all’accesso SSO. L’utente è invogliato a sfruttarli, perché gli viene offerta una certa rassicurazione sull’accesso in maniera affidabile e nota.

Questa rassicurazione, però, nasconde un problema di non poco conto: la bassa vigilanza. L’utente, infatti, non controlla l’URL che appare nella barra di navigazione, proprio perché troppo convinto di stare accedendo ad un servizio sicuro e certificato. In questo modo, i cybercriminali possono sfruttare tale mancanza di controllo a loro vantaggio.

I moderni strumenti di sviluppo web, quali i framework:

React
Angular
Next.js
Vue.js
Nuxt 2

offrono delle soluzioni per replicare in maniera certosina e quasi indistinguibile la finestra di login SSO di un servizio noto, sovrapporla a quella reale di un sito web genuino e adescare l’utente che ha abbassato la propria guardia.

In virtù di ciò, il phishing mediante Browser-in-the-browser ha conosciuto una rapidissima diffusione negli ultimi due anni, proprio per la sua semplicità nella creazione e messa in atto.

Come funziona un attacco Browser-in-the-browser?

L’adescamento e la messa in atto di questa tecnica, inizia con la registrazione di un sito web da parte del cybercriminale. Si tratta della copia malevola di un sito web legittimo, come accade in ogni attacco basato sul phishing che si rispetti. Come soluzione alternativa, questi può sfruttare il nome di un indirizzo web già esistente, o di contenuti di grande richiamo, in modo da attirare entro breve l’attenzione della vittima.
Solitamente la scelta ricade su sconti folli in corso sulle più note piattaforme di e-commerce, articoli clickbait oppure offerte di lavoro imperdibili.

Come si può facilmente intuire, si tratta di elementi a cui l’utente non potrà accedere in maniera libera, ma sarà costretto a registrarsi per poterli visualizzare. Questo perché, ad attenderli, ci sarà un finto form di login identico in tutto e per tutto ad uno legittimo, compresi i pulsanti di login e di credenziali dimenticate.

Nel momento in cui un utente clicca sul pulsante di accesso mediante SSO, vede comparire una finestra di login che gli è familiare, come ad esempio l’accesso all’account Microsoft, Google, Apple, ecc.
Il tutto è riprodotto in maniera estremamente fedele, con i loghi delle società posti in maniera corretta, esattamente come ci si aspetterebbe.
L’inghippo sta proprio qui, perché non si tratta di una finestra separata dal browser, come si sarebbe portati a credere, ma di una programmata per sovrapporsi a quella che sta visualizzando, in modo da ingannare l’utente. Questa si occupa di reindirizzarlo al server gestito dal cybercriminale, che si approprierà automaticamente delle sue credenziali.

Come identificare una finta finestra di login da una legittima?

Sebbene a prima vista la finestra del cybercriminale risulti indistinguibile da quella legittima a cui si sovrappone, esistono in realtà dei trucchi per scoprire l’inghippo.

Le vere finestre di login sono finestre di browser separate in tutto e per tutto da quelle principali.
Queste possono, infatti, essere ridimensionate a proprio piacimento, impostate a schermo intero o ridotte a icona. Una finestra di browser-in-the-browser non rispetta questi canoni. Può essere spostata liberamente, giungendo perfino a coprire immagini e pulsanti, ma solo entro i limiti della pagina web in cui si trova.

Per accertarsi della legittimità di una finestra di login, si possono provare queste soluzioni:

Ridurre a icona la finestra del browser in cui è apparso il form di login.
Se anche quest’ultimo viene ridotto a icona, allora vuol dire che si è in presenza di una finestra browser-in-the-browser.
Provare a muovere la finestra di login oltre i bordi della finestra del browser.
Se rimane bloccata nei limiti, allora si tratta di un finto form creato dai cybercriminali.

L’inganno mediante JavaScript

Come abbiamo potuto constatare, il Browser-in-the-browser è una tattica di phishing interamente basata sul web e sulla creazione di un finto form di login. Ma qual è lo strumento più adatto per realizzare tutto ciò? Come detto in fase di introduzione, i cybercriminali si appoggiano a svariati framework predisposti allo sviluppo web, tutti accomunati da un singolo elemento: il linguaggio di programmazione JavaScript.

Si tratta di uno degli strumenti maggiormente diffusi oggigiorno nel mondo del web development, proprio in virtù della sua versatilità ed efficienza nella creazione di contenuti.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.