L’ultima evoluzione degli attacchi phishing, ancora più difficili da riconoscere: Panda Security spiega come difendersi
Si è abituati a identificare gli attacchi phishing tramite messaggi pieni di errori o siti che appaiono falsi anche a prima vista.
Purtroppo, la situazione sta cambiando e i cybercriminali hanno un nuovo strumento che rende più subdoli ed efficaci questi attacchi
Infatti, lo sviluppatore noto come Mr.d0x ha dimostrato che è possibile simulare una finestra SSO (Single Sign On) all’interno di una pagina di phishing per rassicurare le vittime e convincerle a inserire i propri dati di accesso.
In questo tipo di attacco, ribattezzato “browser in the browser”, il phisher crea una pagina falsa che attira l’attenzione delle vittime con i soliti pretesti: offerte vantaggiose, premi, annunci di lavoro, presunti messaggi della Pubblica Amministrazione e così via. In seguito, per massimizzare le probabilità di ingannare gli utenti, imposta l’apertura di un popup che assomiglia in tutto e per tutto a una finestra di SSO, un metodo di autenticazione di terze parti ancora molto utilizzato per la sua comodità: basta aver eseguito l’accesso a Google o, ad esempio, al proprio account Apple, per poi accedere ad altri siti e servizi senza dover creare nuovi profili, aspettare e-mail di conferma.
Qui entrano in gioco gli strumenti di web design, che tramite i fogli di stile e l’HTML5 consentono a chiunque di ricreare facilmente l’aspetto di una finestra legittima. L’inganno, però, non sarebbe completo senza l’uso “creativo” del codice JavaScript, che consente di programmare l’apertura del popup in base a determinate azioni e su certi dispositivi. Il risultato è che la vittima non capisce di essere di fronte a un popup invece di una finestra SSO legittima, e inserisce le credenziali per eseguire l’accesso.
Tutti questi elementi fanno sì che sia più difficile riconoscere un attacco browser in the browser: il sito ingannevole è ben fatto, la finestra popup è del tutto simile a quelle legittime per l’accesso SSO, i messaggi e i testi sono scritti con cura e non contengono i soliti errori grammaticali grossolani.
Come possono allora gli utenti proteggersi e rilevare questo tipo di attacchi?
Innanzitutto, dobbiamo ricordare che vale il principio di base di protezione dal phishing: se una cosa sembra troppo bella per essere vera, probabilmente non lo è. È necessario diffidare e verificare le informazioni che troviamo online prima di inserire dati e credenziali. Se la comunicazione di un sito o di un’e-mail fa leva sull’urgenza, su potenziali conseguenze catastrofiche o, al contrario, sulla promessa di grandi guadagni e premi, quasi sicuramente si tratta di phishing, o quanto meno di pubblicità ingannevole.
Oltre alla solita prudenza, Panda Security suggerisce l’utilizzo di alcuni strumenti che aiutano ogni utente a navigare sicuro e impedire agli attacchi browser in the browser di andare a segno:
1. Usare un password manager – I software non confondono i finti popup con le vere finestre e distinguono i domini attendibili da quelli falsi. Se il password manager non compila automaticamente i campi di un login, bisogna fare molta attenzione perché potrebbe trattarsi di una schermata di phishing
2. Impostare l’autenticazione a 2 fattori per tutti i siti e i servizi – In questo modo, i propri account saranno al sicuro anche in caso di inserimento delle proprie credenziali su un sito di phishing o se si dovesse cadere vittime di un attacco browser nel browser.
3. Installare un ad blocker per bloccare anche annunci, popup e script – Queste piccole estensioni per i browser non sono accettate da molti portali informativi (che vivono grazie alla pubblicità), ma nel frattempo proteggono dall’apertura di finestre e popup indesiderati o reindirizzamenti ingannevoli.
L’evoluzione tecnica degli strumenti di sviluppo web e del codice JavaScript permettono ormai ai phisher di lanciare attacchi di alto livello, difficili da rilevare e prevenire. Per fortuna, grazie all’uso di alcuni strumenti e al buon senso, è possibile sventare anche gli attacchi browser in the browser e rimanere relativamente al sicuro.
Per un ulteriore livello di protezione per tutti i tuoi account e dispositivi, ti consigliamo di scaricare la nostra suite di cybersicurezza.
Buona navigazione e buona protezione dagli attacchi browser nel browser!