Conclusiones clave
- Un investigador de seguridad ha ideado una forma de crear ventanas emergentes de inicio de sesión único muy convincentes pero falsas.
- Las ventanas emergentes falsas utilizan direcciones URL legítimas para parecer más genuinas.
- El truco demuestra que a las personas que solo usan contraseñas les robarán sus credenciales tarde o temprano, advierten los expertos.
Navegar por Internet es cada día más complicado.
Actualmente, la mayoría de los sitios web ofrecen múltiples opciones para crear una cuenta. Puede registrarse en el sitio web o utilizar el mecanismo de inicio de sesión único (SSO) para iniciar sesión en el sitio web utilizando sus cuentas existentes con empresas acreditadas como Google, Facebook o Apple. Un investigador de seguridad cibernética aprovechó esto e ideó un mecanismo novedoso para robar sus credenciales de inicio de sesión mediante la creación de una ventana de inicio de sesión de SSO falsa prácticamente indetectable.
"La creciente popularidad de SSO brinda muchos beneficios a [las personas]", dijo Scott Higgins, director de ingeniería de Dispersive Holdings, Inc. a Lifewire por correo electrónico. "Sin embargo, los hackers inteligentes ahora se están aprovechando de esta ruta de una manera ingeniosa".
Inicio de sesión falso
Tradicionalmente, los atacantes han empleado tácticas como ataques homógrafos que reemplazan algunas de las letras de la URL original con caracteres similares para crear nuevas URL maliciosas difíciles de detectar y páginas de inicio de sesión falsas.
Sin embargo, esta estrategia a menudo se desmorona si las personas examinan cuidadosamente la URL. La industria de la ciberseguridad ha aconsejado durante mucho tiempo a las personas que revisen la barra de URL para asegurarse de que incluya la dirección correcta y que tenga un candado verde al lado, lo que indica que la página web es segura.
"Todo esto eventualmente me llevó a pensar, ¿es posible hacer que el consejo 'Verifique la URL' sea menos confiable? Después de una semana de lluvia de ideas, decidí que la respuesta es sí", escribió el investigador anónimo que usa el seudónimo, mr.d0x.
El ataque creado por mr.d0x, llamado browser-in-the-browser (BitB), utiliza los tres componentes esenciales de la web: HTML, hojas de estilo en cascada (CSS) y JavaScript, para crear una falsificación Ventana emergente SSO que es esencialmente indistinguible de la real.
"La barra de URL falsa puede contener lo que quiera, incluso ubicaciones aparentemente válidas. Además, las modificaciones de JavaScript hacen que al pasar el mouse sobre el enlace o el botón de inicio de sesión también aparezca un destino de URL aparentemente válido ", agregó Higgins después de examinar al Sr. Mecanismo de d0x.
Para demostrar BitB, mr.d0x creó una versión falsa de la plataforma de diseño gráfico en línea, Canva. Cuando alguien hace clic para iniciar sesión en el sitio falso usando la opción SSO, el sitio web muestra la ventana de inicio de sesión creada por BitB con la dirección legítima del proveedor de SSO falsificado, como Google, para engañar al visitante para que ingrese sus credenciales de inicio de sesión, que son luego enviado a los atacantes.
La técnica ha impresionado a varios desarrolladores web. "Oh, eso es desagradable: Ataque de navegador en el navegador (BITB), una nueva técnica de phishing que permite robar credenciales que incluso un profesional web no puede detectar", escribió François Zaninotto, director ejecutivo de la empresa de desarrollo web y móvil Marmelab, en Twitter.
Mira por dónde vas
Si bien BitB es más convincente que las ventanas de inicio de sesión falsas comunes y corrientes, Higgins compartió algunos consejos que las personas pueden usar para protegerse.
Para empezar, a pesar de que la ventana emergente BitB SSO parece una ventana emergente legítima, en realidad no lo es. Por lo tanto, si toma la barra de direcciones de esta ventana emergente y trata de arrastrarla, no se moverá más allá del borde de la ventana del sitio web principal, a diferencia de una ventana emergente real que es completamente independiente y se puede mover a cualquier parte del escritorio.
Higgins compartió que probar la legitimidad de la ventana SSO usando este método no funcionaría en un dispositivo móvil."Aquí es donde [la autenticación de múltiples factores] o el uso de opciones de autenticación sin contraseña pueden ser realmente útiles. Incluso si fuera víctima del ataque de BitB, [los estafadores] no necesariamente podrían [usar sus credenciales robadas] sin las otras partes de una rutina de inicio de sesión de MFA ", sugirió Higgins.
Internet no es nuestro hogar. Es un espacio público. Debemos comprobar lo que estamos visitando.
Además, dado que se trata de una ventana de inicio de sesión falsa, el administrador de contraseñas (si está utilizando uno) no completará automáticamente las credenciales, lo que nuevamente le dará una pausa para detectar algo mal.
También es importante recordar que, si bien la ventana emergente SSO de BitB es difícil de detectar, aún debe iniciarse desde un sitio malicioso. Para ver una ventana emergente como esta, ya tendrías que estar en un sitio web falso.
Esta es la razón por la cual, cerrando el círculo, Adrien Gendre, director de tecnología y productos de Vade Secure, sugiere que las personas deben mirar las URL cada vez que hacen clic en un enlace.
De la misma manera que verificamos el número en la puerta para asegurarnos de terminar en la habitación de hotel correcta, las personas siempre deben echar un vistazo rápido a las URL cuando navegan por un sitio web. Internet no es nuestro hogar. Es un espacio público. Debemos revisar lo que estamos visitando”, subrayó Gendre.
