Il Phishing con tecnica Browser in the Browser (BITB) è un nuovo metodo di attacco che mira a confonderti per rubarti le credenziali di login di diversi servizi.
Come funziona la tecnica di phishing Browser in the Browser o BitB
Ti sarà sicuramente capitato di doverti registrare a un sito e di vedere i classici pulsanti Login con Facebook o Login con Microsoft o Login con Apple.
Sostanzialmente quando tu clicchi su uno dei pulsanti, appare una seconda finestra sovrapposta a quella principale che ti chiede di inserire nome utente e password del servizio con il quale vuoi iscriverti, sia esso Apple, Google, Facebook o altri.
Ecco due esempi.
Tu puoi capire che stai inserendo i dati nel sito giusto (Facebook, Apple o altri) perché nella barra dell’indirizzo in alto vedi facebook.com, apple.com o il vero dominio del sito che chiede l’autenticazione.
La tecnica è però subdola perché in pratica viene realizzata una finestra quasi identica a quella che vedi qui sopra, con un indirizzo del sito contraffatto e che ti fa vedere il sito di phishing.
Guarda questo esempio.
Noti che l’urli indicato è facebook.com ma il sito che viene mostrato è invece quello di Unieuro (esempio che ho creato io apposta per spiegarne il funzionamento).
Quindi se non fai sufficiente attenzione, tu pensi di inserire le tue credenziali nel sito di Facebook o Apple e invece le stai bellamente consegnando al criminale che non aspetta altro.
Questa è la tecnica BitB.
Come scoprire il phishing con tecnica Browser in the Browser
In realtà è molto semplice ma richiede un passo aggiuntivo da parte tua e un minimo di attenzione.
La finestra del browser che viene creata nella realtà è una finestra a sé stante che puoi spostare dove vuoi mentre la finestra fasulla che viene creata con questa tecnica non può essere spostata al di fuori della finestra principale del browser.
Questo succede nel caso della finestra reale se la sposti.
Come vedi la puoi spostare dove vuoi nello schermo del tuo computer senza alcun problema, perché è indipendente.
Questo è invece quello che succede con la finestra fasulla creata dalla tecnica di phishing BitB.
Come vedi la finestra fasulla non esce da quella principale proprio perché non è reale ma un trucco creato apposta per trarti in inganno.
Se proprio vogliamo essere pignoli, la finestra vera è ben differente da quella fasulla ma, se guardi con occhio distratto, potresti anche non accorgertene con grossi problemi per la tua vita digitale.
Non ho ancora visto applicata questa tecnica in email di phishing ma non è detto che qualcuno stia già pensando di utilizzarla per le sue prossime campagne di phishing quindi, massima attenzione sempre e, se vuoi un consiglio, prendi in considerazione di approfittare della promozione che, ancora per pochissimo – se non è già terminata – ti permetterà di acquistare il libro Manuale di Autodifesa Digitale al 50% del suo prezzo già scontato!
