Browser-in-the-browser (BitB): ¿qué es?
Los ciberdelincuentes siempre están inventando nuevas formas de engañar a los usuarios para sus fines: robar credenciales, claves secretas y cualquier otra información valiosa que vender. Todos sus esfuerzos se dirigen, principalmente, a los usuarios que no están atentos, los que se despistan y pueden ser, en algún momento, vulnerables. Y este foco es independiente de los conocimientos técnicos que tengan esas personas. A cualquier usuario, sea quien sea, se la pueden colar.
Uno de los principales consejos para evitar caer en el engaño del phishing es comprobar la dirección del sitio web que visitamos. Es algo que casi siempre funciona, pero no en el caso de browser-in-the-browser (BitB), un tipo de ataque en el que la URL parece segura y correcta para la víctima.
El ataque browser-in-the-browser es un tipo de estafa basada en phishing en la que se roba información sensible del usuario simulando una ventana de navegador web dentro de un navegador web.
Cómo funciona BitB (browser-in-the-browser)
En la actualidad, multitud de sitios web ofrecen a los usuarios la posibilidad de hacer login utilizando un servicio frecuente como puede ser Gmail, Facebook o Twitter, por ejemplo. Esto se conoce como OAuth, Open Authorization, que es un estándar abierto que permite flujos simples de autorización para sitios web.
La operativa es sencilla: se presenta la lista de opciones para autenticarse, el usuario elige una y en ese momento se abre una pestaña con el servicio correspondiente en la que se introduce el usuario y contraseña.
Con BitB lo que ocurre es que se presenta una versión falsa de estas ventanas de login con las que se produce el robo de las credenciales. Los riesgos a los que se enfrenta el usuario ante este ataque son evidentes:
- Robo de credenciales de inicio de sesión
- Extorsión
- Con el robo de datos bancarios llegan los robos económicos
- Pérdida de control de la cuenta y suplantación de identidad
Los usuarios suelen preferir el inicio de sesión único (SSO) por pura comodidad. Es algo legítimo, porque de esta forma pueden permanecer conectados a varios sitios web o aplicaciones sin tener que recordar largas contraseñas, así que este ataque se aprovecha de esa comodidad. Además, los usuarios no pueden distinguir entre un dominio falso y uno legítimo una vez que aparece una ventana emergente, por lo que los ciberdelincuentes van a aprovecharse de ello.
¿Cómo podemos saber si la ventana de inicio de sesión es real o falsa?
Aunque parezca mentira, hay formas de identificar la ventana de inicio de sesión falsa por muy sofisticada que sea. La razón es simple: las ventanas de inicio de sesión son ventanas del navegador, y se comportan como tales. Se pueden maximizar, minimizar y mover a cualquier parte de la pantalla.
Las ventanas emergentes falsas no se pueden mover.
Además, estas ventanas falsas pueden cubrir botones e imágenes en sus límites, pero sólo dentro de sus confines. Por tanto, podemos probar esto para verificar si un formulario de inicio de sesión es falso, o no. Será falso si:
- Cuando se redirige al login no se abre una nueva ventana en la barra de tareas
- Si no puedes modificar el tamaño de esa ventana emergente
- Si intentas cambiar el contenido de la barra de direcciones y no es posible
- Si desaparece la ventana emergente al minimizar la ventana principal, es decir, si al minimizar el formulario desaparece a la vez, estarás ante una ventana fraudulenta
- Si al arrastrar la ventana emergente fuera del borde del navegador, esta “no sale” fuera de la ventana principal, estarás en peligro
Protégete ante el ataque BitB
Detectar la ventana de autenticación falsa es el primer paso para protegernos, pero, desde luego, disponer de un gestor de contraseñas para no depender de estos sistemas de login tan cómodos es un acierto en pro de nuestra seguridad.
Otra cosa que podemos hacer es verificar la URL de la página de login utilizando herramientas de tipo analizadores de URL y archivos. Configurar la autenticación en dos pasos es otra variable que tener en cuenta, de hecho, es uno de los métodos más seguros de autenticación.
Desconfiar de sitios desconocidos o que obliguen a acceder a sus servicios a través de otras webs externas es otro punto, sin duda, evidente de que nos quieren estafar.