Come riporta un articolo di Threatpost l’attacco, a cui il ricercatore ha dato il nome di Browser-in-the-browser (BitB), sfrutta le opzioni di Single Sign-On (SSO) di terze parti presenti sulla maggior parte dei siti. Con SSO si intende che, invece di autenticarsi con dei dati specifici per ogni sito, si usano per esempio le proprie credenziali di Google, Facebook, Apple o Microsoft.
Secondo mr.d0x, sfruttare queste funzioni a scopo malevolo usando i linguaggi di programmazione HTML e CSS è molto semplice. Si tratta di creare delle finestre pop-up che inseriscono una finestra del browser all’interno browser, fingendosi un dominio legittimo per fare un attacco di phishing.
La finestra, che punta a un server malevolo con la pagina per la raccolta ingannevole dei dati, può risultare sostanzialmente indistinguibile da quella legittima.
Lucas Budman, CEO di TruU, società specializzata nella gestione delle credenziali senza password, ha dichiarato a Threatpost che con questo tipo di attacchi è solo una questione di tempo prima che un utente passi la propria password alla persona sbagliata, rendendo vulnerabile anche l’autenticazione a due fattori con password. Diventa infatti a singolo fattore se la password è compromessa.
Incoraggia quindi l’adozione di autenticazione a due fattori senza password, ossia che utilizza un dispositivo registrato o un token hardware. GitHub, per esempio, ha fatto un passo in questo senso a maggio 2021, aggiungendo il supporto per le chiavette di sicurezza FIDO2 per la connessione al servizio via SSH.
Un altro aiuto per sventare il pericolo di BitB sono i Password manager, dato che probabilmente il software non interpreterà la finestra di acquisizione dei dati come legittima e non inserirà le credenziali dell’utente.
