Browser-in-the-Browser: una nueva técnica de phishing casi indetectable

Es frecuente ver en algunas páginas web muy conocidas que para registrarnos o iniciar sesión en ellas podamos hacer uso de nuestra cuenta de Google, Facebook o Twitter, entre otras, de tal forma, que en vez de tener que pensar en un usuario y contraseña nuevos para cada sitio online en el que nos registremos, podemos unificar el registro de varios servicios bajo una misma cuenta. A este proceso se le conoce como OAuth o estándar abierto de autenticación. Se puede consultar más información en el post ‘Registrarte con tu cuenta de Google, Facebook o Twitter: ventajas e inconvenientes’. Al acceder así, eligiendo el método de inicio de sesión que deseamos, se abre una pestaña con el servicio correspondiente en la que introduces tu usuario y contraseña.

¿Dónde está el riesgo de todo esto?

Los ciberdelincuentes crean páginas con apariencia muy similar a las anteriormente mencionadas para intentar robar las claves o credenciales de acceso de los usuarios. A esta técnica se la conoce como Browser-in-the-Browser, en la cual un ciberdelincuente o phisher simula una página de un servicio online para así introducir en esta una ventana emergente de inicio de sesión única, haciendo que el usuario crea que es una ventana de inicio de sesión legítima, como las que ya estamos acostumbrados a ver en muchas webs legítimas, e introduzca así sus credenciales.

¿Qué riesgos conlleva el BITB?

A continuación, veremos algunos de los riesgos más probables a los que nos podríamos enfrentar si resultamos víctima de este ataque:

• Robo de credenciales, con las que hayamos iniciado sesión (correo electrónico, red social, etc.).
• Extorsión, por tener acceso a nuestros datos personales de distintas cuentas de usuario.
• Cargos económicos, debido al robo de datos bancarios.
• Pérdida de control de la cuenta y suplantación de identidad.

¿Cómo detectarlo?

Para comprobar la autenticidad del formulario de acceso de una determinada página web y evitar ser víctima de BITB, puedes las siguientes pautas. Sospecha si:

• No se abre una nueva ventana en la barra de tareas para el login.
• No te permite modificar el tamaño de la ventana emergente.
• Intentas cambiar el contenido de la barra de direcciones y no es posible.
• Desaparece la ventana emergente al minimizar la ventana principal. Minimiza la ventana principal del buscador desde la que apareció el formulario de inicio. Si este formulario desaparece simultáneamente al de la pantalla de inicio, entonces se tratará de una ventana fraudulenta. Las ventanas reales continúan siempre en la pantalla. Por tanto, al reducir o eliminar una, la otra debería permanecer a la vista.

  

•  Al arrastrar la ventana emergente fuera del borde del navegador, esta se atasca y no se separa. Intenta arrastrar la ventana principal del inicio de sesión más lejos del borde de la ventana principal, es decir, sacarla de la ventana principal. Una ventana normal cruzaría sin problema, ya que no forma parte de la otra, mientras que una ventana ficticia o maliciosa se quedaría atascada en el interior de la ventana principal, como si formara parte de ella.

En resumen, si la ventana principal con el formulario tiene los comportamientos anteriormente indicados, no es una página legítima y segura. ¡No introduzcas en ningún caso tus credenciales en ella!

¿Qué pasa si introduzco mis credenciales en uno de estos formularios fraudulentos? La contraseña y usuario que hayas facilitado serán enviados directamente al servidor del ciberdelincuente, aunque al hacer clic te redirijan a las páginas oficiales, o que visualmente no ocurra nada.

¿Cómo puedo protegerme?

• Contar con un programa o aplicación de gestión de contraseñas para todas las claves que uses habitualmente y, potenciando así la seguridad. De esta forma, solo introducirás tus claves en la página web, comprobando previamente que es la legítima.
• Verificar la URL de la página de login o registro apoyándote en herramientas de tipo analizadores de URL y archivos.
• Configura, siempre que sea posible, la autenticación en dos pasos, asegurando así que si alguien logra robarte tus claves, no pueda introducirse en tus cuentas sin el código único que recibirás.
• Examina cuidadosamente las ventanas sospechosas y comprueba si tienen comportamientos extraños, mala calidad de las imágenes, caracteres especiales, textos incoherentes o mal redactados, etc.
• Desconfía de los sitios de los que nunca has oído hablar o que soliciten que accedas a sus servicios a través de otras webs externas.

En definitiva, evitar este tipo de ataques depende en gran medida de que nosotros, como usuarios responsables, estemos atentos/as y prestemos atención a los sitios web por los que navegamos para evitarlos una vez que sabemos cómo funcionan. Te invitamos a que sigas creciendo y aprendiendo con los recursos de nuestra web. ¡Recuerda! Mantente siempre actualizado/a!.

Además, en caso de que necesites asesoramiento, ponemos a tu disposición la Línea de Ayuda en Ciberseguridad de INCIBE, 017, teléfono gratuito y confidencial, desde el que resolveremos tus dudas. Servicio también disponible a través de WhatsApp y Telegram.

Fuente: https://www.osi.es/es/actualidad/blog/2023/02/15/browser-browser-una-nueva-tecnica-de-phishing-casi-indetectable