Teknik phishing baru yang disebut serangan browser-in-the-browser (BitB) dapat dimanfaatkan untuk mensimulasikan jendela browser di dalam browser untuk menipu domain yang sah, sehingga memungkinkan untuk melakukan serangan phishing yang meyakinkan.
Menurut penguji penetrasi dan peneliti keamanan, yang menggunakan pegangan mrd0x_, metode ini memanfaatkan opsi masuk tunggal (SSO) pihak ketiga yang disematkan di situs web seperti “Masuk dengan Google” (atau Facebook, Apple, atau Microsoft ).
Sementara perilaku default ketika pengguna mencoba untuk masuk melalui metode ini akan disambut oleh jendela pop-up untuk menyelesaikan proses otentikasi, serangan BitB bertujuan untuk mereplikasi seluruh proses ini menggunakan campuran kode HTML dan CSS untuk membuat jendela browser yang sepenuhnya dibuat-buat.
“Gabungkan desain jendela dengan iframe yang menunjuk ke server jahat yang menghosting halaman phishing, dan itu pada dasarnya tidak dapat dibedakan,” kata mrd0x_ dalam penulisan teknis yang diterbitkan minggu lalu. “JavaScript dapat dengan mudah digunakan untuk membuat jendela muncul pada tautan atau klik tombol, pada pemuatan halaman, dll.”
Meskipun metode ini secara signifikan mempermudah pemasangan kampanye manipulasi psikologis yang efektif, perlu diperhatikan bahwa calon korban perlu dialihkan ke domain phishing yang dapat menampilkan jendela autentikasi palsu untuk pengambilan kredensial.
“Tapi begitu mendarat di situs web milik penyerang, pengguna akan merasa nyaman saat mereka mengetikkan kredensial mereka di situs yang tampaknya sah (karena URL yang dapat dipercaya mengatakan demikian),” tambah mrd0x_.
Sumber : The Hacker News
