Một kỹ thuật lừa đảo mới được gọi là tấn công trình duyệt trong trình duyệt (BitB) có thể được khai thác để mô phỏng một cửa sổ trình duyệt trong trình duyệt nhằm giả mạo một miền hợp pháp, do đó có thể tạo ra các cuộc tấn công lừa đảo thuyết phục.
Theo người kiểm tra thâm nhập và nhà nghiên cứu bảo mật, người sử dụng mrd0x_, phương pháp này tận dụng các tùy chọn đăng nhập một lần (SSO) của bên thứ ba được nhúng trên các trang web như “Đăng nhập bằng Google” (hoặc Facebook, Apple hoặc Microsoft ).
Mặc dù hành vi mặc định khi người dùng cố gắng đăng nhập thông qua các phương thức này là được chào đón bởi một cửa sổ bật lên để hoàn tất quá trình xác thực, cuộc tấn công BitB nhằm mục đích sao chép toàn bộ quá trình này bằng cách sử dụng kết hợp mã HTML và CSS để tạo ra một cửa sổ trình duyệt hoàn toàn được chế tạo.
“Kết hợp thiết kế cửa sổ với một khung nội tuyến trỏ đến máy chủ độc hại lưu trữ trang lừa đảo và về cơ bản không thể phân biệt được”, mrd0x_ cho biết trong một bài viết kỹ thuật được xuất bản vào tuần trước. “JavaScript có thể dễ dàng được sử dụng để làm cho cửa sổ xuất hiện trên một liên kết hoặc nhấp vào nút, khi tải trang, v.v.”
Mặc dù phương pháp này giúp dễ dàng hơn trong việc thực hiện các chiến dịch kỹ thuật xã hội hiệu quả, nhưng cần lưu ý rằng các nạn nhân tiềm năng cần được chuyển hướng đến một miền lừa đảo có thể hiển thị một cửa sổ xác thực giả mạo như vậy để thu thập thông tin đăng nhập.
“Nhưng khi đã truy cập vào trang web do kẻ tấn công sở hữu, người dùng sẽ cảm thấy thoải mái khi họ nhập thông tin đăng nhập của họ vào những gì có vẻ là trang web hợp pháp (vì URL đáng tin cậy cho biết như vậy)”, mrd0x_ nói thêm.
.
