Si è abituati a identificare gli attacchi phishing tramite messaggi pieni di errori o siti che appaiono contraffatti anche a prima vista. Purtroppo, la situazione sta cambiando e i cybercriminali hanno un nuovo strumento che rende più subdoli ed efficaci questi attacchi. Lo sviluppatore noto come Mr.d0x ha infatti dimostrato che è possibile simulare una finestra SSO (Single Sign On) all’interno di una pagina di phishing per rassicurare le vittime e convincerle a inserire i propri dati di accesso. In questo tipo di attacco, ribattezzato “browser in the browser”, il phisher crea una pagina falsa che attira l’attenzione delle vittime con i soliti pretesti: offerte vantaggiose, premi, annunci di lavoro, presunti messaggi della Pubblica Amministrazione e così via.

In seguito, per massimizzare le probabilità di ingannare gli utenti, il phisher imposta l’apertura di un popup che assomiglia in tutto e per tutto a una finestra di SSO, un metodo di autenticazione di terze parti ancora molto utilizzato per la sua comodità: basta aver eseguito l’accesso a Google o, ad esempio, al proprio account Apple, per poi accedere ad altri siti e servizi senza dover creare nuovi profili e aspettare un’e-mail di conferma.

Qui entrano in gioco gli strumenti di web design, che tramite i fogli di stile e l’HTML5 consentono a chiunque di ricreare facilmente l’aspetto di una finestra legittima. L’inganno, però, non sarebbe completo senza l’uso “creativo” del codice JavaScript, che consente di programmare l’apertura del popup in base a determinate azioni e su certi dispositivi. Il risultato è che la vittima non capisce di essere di fronte a un popup invece di una finestra SSO legittima e inserisce le credenziali per eseguire l’accesso.

phishing

Tutti questi elementi fanno sì che sia più difficile riconoscere un attacco browser in the browser: il sito ingannevole è ben fatto, la finestra popup è del tutto simile a quelle legittime per l’accesso SSO, i messaggi e i testi sono scritti con cura e non contengono i soliti errori grammaticali grossolani.

Come possono allora gli utenti proteggersi e rilevare questo tipo di attacchi? Innanzitutto, dobbiamo ricordare che vale il principio di base di protezione dal phishing: se una cosa sembra troppo bella per essere vera, probabilmente non lo è. È necessario diffidare e verificare le informazioni che troviamo online prima di inserire dati e credenziali. Se la comunicazione di un sito o di un’e-mail fa leva sull’urgenza, su potenziali conseguenze catastrofiche o, al contrario, sulla promessa di grandi guadagni e premi, quasi sicuramente si tratta di phishing, o quanto meno di pubblicità ingannevole.

Oltre alla solita prudenza, Panda Security suggerisce l’utilizzo di alcuni strumenti che aiutano ogni utente a navigare sicuro e impedire agli attacchi browser in the browser di andare a segno:

  • Usare un password manager – I software non confondono i finti popup con le vere finestre e distinguono i domini attendibili da quelli falsi. Se il password manager non compila automaticamente i campi di un login, bisogna fare molta attenzione perché potrebbe trattarsi di una schermata di phishing
  • Impostare l’autenticazione a 2 fattori per tutti i siti e i servizi – In questo modo, i propri account saranno al sicuro anche in caso di inserimento delle proprie credenziali su un sito di phishing o se si dovesse cadere vittime di un attacco browser nel browser.
  • Installare un ad blocker per bloccare anche annunci, popup e script – Queste piccole estensioni per i browser non sono accettate da molti portali informativi (che vivono grazie alla pubblicità), ma di fatto proteggono dall’apertura di finestre e popup indesiderati o reindirizzamenti ingannevoli.