Spesso in passato abbiamo parlato del phishing in tutte le sue declinazioni, dallo smishing, alle tendenze a copiare e modificare i siti di brand più amati per i vari servizi, etc. Ora la tecnica si evolve e non è solo più caratterizzata da messaggi sgrammaticati o siti falsi facilmente identificabili. I criminali informatici infatti hanno messo a punto una tecnica tanto subdola quanto efficace. Ovvero utilizzando popup che simulano finestre SSO.
Come funziona un attacco tramite popup SSO
Come rivela Panda Security, lo sviluppatore conosciuto con il nick Mr.d0x ha dimostrato che è possibile simulare una finestra SSO, ovvero Single Sign On all’interno di una pagina di phishing. Il fine è quello di convincere le vittime a inserire i propri dati, rassicurando gli utenti di trovarsi nel posto giusto. Il tipo di attacco è stato battezzato “browser in the browser“. Il malintenzionato crea comunque una pagina falsa che attira i malcapitati con i soliti escamotage. Che siano offerte apparentemente vantaggiose, premi, annunci di lavoro, etc. Dopodiché per rendere più efficace il tentativo di attacco, ecco l’apertura di un popup che assomiglia ad una finestra SSO, ovvero un metodo di autenticazione di terze parti, il quale offrirebbe la possibilità di collegarsi sfruttando l’accesso a Google, al proprio account Apple, o altri servizi, come ad esempio Twitter, per non dover creare nuovi profili o attendere e-mail di conferma.
I malintenzionati non useranno dunque esclusivamente HTML5, web design e fogli di stile per ingannare la vittima, ma anche codici JavaScript che consentono l’apertura di un popup in base a certe azioni (ad esempio il cursore che si sposta verso la X per chiudere la pagina) o in base a certi dispositivi. In questo modo la vittima non è in grado di capire se si trova di fronte ad un popup o ad una finestra SSO legittima, inserendo le credenziali per eseguire l’accesso. Gli elementi rendono dunque più difficoltoso riconoscere un attacco browser in the browser. Siti ingannevoli in vesti sempre più simili, messaggi più curati e popup che replicano legittime richieste SSO senza esserlo davvero.
Come proteggersi dagli attacchi browser in the browser
Per proteggersi bisogna ricordare il principio base di protezione dal phishing: se una cosa è troppo bella per essere vera, probabilmente non lo è. Bisogna quindi diffidare e verificare le informazioni trovate online, prima di concedere i nostri dati e mettere a rischio le credenziali. In genere, quando un sito fa leva sull’urgenza quali potenziali conseguenze catastrofiche, o promesse di grandi guadagni o premi, può essere molto probabile un tentativo di phishing o pubblicità ingannevole.
Esistono tre modi per difendersi da questo nuovo metodo per sottrarre dati sensibili. Il primo è utilizzare un password manager. I software non confondono i finti popup con le vere finestre e sono in grado di distinguere i siti attendibili da quelli falsi. Se il password manager non compila automaticamente i campi di login di una finestra, è possibile che sia la schermata di un sito di phishing.
Un secondo modo è la necessità di attivare l’autenticazione a due fattori per tutti i tipi di servizi. In questo modo gli account saranno al sicuro in caso di inserimento delle proprie credenziali su un sito di phishing o se si dovesse cadere nella trappola browser in the browser (tuttavia se quella password è condivisa con altri account, è bene modificarla NdR).
Il terzo modo è quello di installare un ad blocker, che però non funzionerà su siti che campano di pubblicità, come ad esempio il nostro. Il software serve a proteggere l’utente dall’apertura di finestre e popup indesiderati o reindirizzamenti ingannevoli. Si può comunque settare in modo che l’adblocker non intervenga su siti come il nostro, sicuro, ma non funzionante con adblocker attivo.
Leave a Reply