Ataques “Browser in the Browser”: una nueva y devastadora técnica de phishing

Los ataques de phishing no son infrecuentes, y todos hemos sido testigos de correos electrónicos y mensajes falsos que exigen atención urgente al menos una vez. Sin embargo, hay mucho más en el panorama de la ciberseguridad que las prácticas de correo electrónico convencionales cuando se trata de phishing.

Un ataque de phishing puede ser un golpe mortal para las empresas que no toman las precauciones necesarias. La línea superior se ve afectada, pero la imagen y la confianza de la marca pueden borrarse si la noticia de una violación de datos llega al público.

El ataque browser in the browser (BITB) es la última forma de estafa de phishing que simula una ventana del navegador dentro de un navegador web y roba información confidencial del usuario.

El usuario recibe una ventana emergente fraudulenta que solicita sus credenciales para iniciar sesión en el sitio web en la ventana anterior del navegador web y, por lo tanto, conduce al robo de identidad.

Comprendamos los aspectos de los ataques de navegador en el navegador y cómo las empresas pueden garantizar una seguridad estricta para que sus consumidores y empleados se protejan contra estos ataques.

¿Qué son los ataques BITB?

Cada vez que un usuario elige una opción de inicio de sesión única (SSO) en un sitio web o una aplicación web para iniciar sesión en su cuenta para múltiples aplicaciones interconectadas, se muestra la ventana emergente fraudulenta para recopilar información confidencial sobre el usuario, incluidas las credenciales de inicio de sesión.

Además, la diferencia significativa entre una estafa de phishing y un ataque BIBT es que la ventana emergente durante el proceso de inicio de sesión mostraría cualquier URL que coincidiera con la auténtica.

Los ataques de navegador en el navegador consisten en simular una ventana del navegador dentro del navegador para falsificar un dominio legítimo. El ataque aprovecha la opción de inicio de sesión único (SSO) de terceros, que se ha vuelto cada vez más común para que los usuarios inicien sesión en muchos sitios web diferentes.

El principio es bastante sencillo: el usuario se conecta a un sitio web, que a su vez abre una nueva ventana del navegador que solicita las credenciales de Google, Apple, Microsoft u otros terceros para permitir que el usuario inicie sesión. Esto beneficia al usuario porque no necesita recordar ni usar una contraseña adicional para iniciar sesión en el sitio web.

Ahí es donde entra en juego el ataque BITB. En un ataque BITB, el usuario recibe una ventana emergente fraudulenta que solicita su contraseña de SSO. La principal diferencia con un caso de phishing habitual radica en que además de abrir esa ventana, puede mostrar cualquier URL, incluso una legítima.

El truco funciona bien. Las personas se han acostumbrado tanto a este modelo de autenticación que realmente ya no le prestan atención y simplemente escriben sus credenciales para iniciar sesión.

¿Cómo funcionan?

En este ataque, como ocurre con el phishing habitual, el autor de la amenaza debe hacer que el usuario visite primero una página maliciosa o comprometida. Para atraer al usuario a la página fraudulenta, los atacantes generalmente optan por enviar enlaces a través de correos electrónicos o software de mensajería instantánea. Esa página contendrá un iframe que apunta al servidor malicioso que aloja la página de phishing.

El código JavaScript puede hacer que la página emergente aparezca en un enlace, botón o pantalla de carga de página. JavaScript también hace posible que el atacante muestre cualquier URL para la ventana emergente.

Según mr.d0x, «una vez que llega al sitio web propiedad del atacante, el usuario estará tranquilo mientras escribe sus credenciales en lo que parece ser el sitio web legítimo (porque la URL confiable lo dice)».

Los usuarios no desean recordar largas credenciales. Dudan en proporcionar sus credenciales una y otra vez, lo que les da una ventaja a los ciberdelincuentes, ya que explotan la preferencia de inicio de sesión única, ya que los usuarios no pueden diferenciar entre un dominio falso o uno legítimo una vez que aparece una ventana emergente.

Varias empresas que ofrecen inicio de sesión único a sus consumidores para una experiencia de usuario perfecta en sus múltiples aplicaciones siempre corren un mayor riesgo de comprometer la información confidencial del consumidor al ser víctimas de estos navegadores en los ataques del navegador.

Sin embargo, las empresas que ofrecen capacidades de SSO deben comprender los riesgos asociados con SSO e incorporar mecanismos de seguridad estrictos para proteger la información de sus consumidores.

¿Cómo saber si la ventana de inicio de sesión es real o no?

Aunque no hay nada en el cuadro de inicio de sesión fraudulento que grite «falso», existen técnicas para detectarlo. Las ventanas de inicio de sesión reales se ven y se comportan como las ventanas del navegador. Puedes arrastrarlos por la pantalla y maximizarlos o reducirlos. Las ventanas emergentes falsas están vinculadas a la página en la que aparecen. Intenta lo siguiente para ver si el formulario de inicio de sesión en su pantalla es genuino:

  • Minimiza la ventana del navegador donde apareció el formulario. Si el formulario de inicio de sesión que debería estar en una ventana separada también desaparecerá, es un engaño. Una ventana real debe permanecer en la pantalla en todo momento.
  • Intenta arrastrar la ventana de inicio de sesión más allá del borde de la ventana principal. Una ventana genuina simplemente se cruzará; sin embargo, una ventana falsa quedará atrapada.
  • Si la ventana del formulario de inicio de sesión se comporta de manera extraña, por ejemplo, si se minimiza con la otra ventana, se detiene debajo de la barra de direcciones o desaparece detrás de ella, es una falsificación y no debes ingresar tus credenciales.
  • Para todas tus cuentas, asegúrate de utilizar un administrador de contraseñas .
  • Verifica la verdadera dirección de la página y nunca ingresarás tus credenciales en los campos de un sitio desconocido, sin importar cuán confiable parezca ser.
  • Instala un antivirus en tiempo real que incluya un módulo de protección contra phishing. Esta solución también verifica la URL por ti y te notifica si una página no es segura.
  • Recuerda utilizar también la autenticación de dos factores. Habilítalo en todos los lugares donde tengas la oportunidad, incluso en todas las plataformas de redes sociales.
  • El uso de una VPN es la forma más sencilla de cifrar su conexión y ocultar algunas de sus actividades en línea de los actores de amenazas. Cuando usas una VPN, tu comunicación se enruta a través de un túnel encriptado y tu dirección IP se reemplaza con una compartida por muchos usuarios de VPN. De esta manera, puedes proteger mejor tu ubicación, historial de navegación e información crítica.

Cómo las empresas pueden evitar este ataque

Dado que SSO ha brindado infinitas oportunidades a empresas y consumidores, evitar el uso de SSO no es una gran opción en absoluto.

Agregar múltiples capas de seguridad mientras se implementa el inicio de sesión única (SSO) podría ayudar a las empresas a prevenir ataques de navegador en el navegador y ayudar a reducir otros riesgos asociados.

Comprendamos cómo las empresas pueden reforzar la seguridad contra los ataques BITB.

Incorporación de autenticación multifactor (MFA)

La autenticación multifactor (o MFA) es un sistema de seguridad de varias capas que verifica la identidad de los usuarios para iniciar sesión u otras transacciones.

Al aprovechar múltiples capas de autenticación, la cuenta de usuario aumentará de forma segura incluso si un elemento está dañado o deshabilitado.

Los códigos generados por las aplicaciones de los teléfonos inteligentes, las respuestas a las preguntas de seguridad personal, los códigos enviados a una dirección de correo electrónico, las huellas dactilares, etc., son algunos ejemplos de autenticación multifactor implementados en escenarios cotidianos.

Agregar MFA a tu política de seguridad podría evitar que tus usuarios comprometan sus identidades durante un ataque al navegador, pero también ayuda a garantizar una seguridad sólida para tu información comercial confidencial.

El uso de tokens de software e incluso hardware para la verificación de identidad dual es una forma altamente eficiente de reforzar la seguridad contra los ataques BITB.

Elección de autenticación basada en riesgos (RBA)

La autenticación basada en riesgos o la autenticación adaptativa es la solución integral para prevenir los ataques del navegador.

RBA es un método para aplicar varios niveles de rigurosidad a los procesos de autenticación en función de la probabilidad de que el acceso a un sistema determinado sea comprometido. A medida que aumenta el nivel de riesgo, la autenticación se vuelve más restrictiva.

Por lo tanto, RBA incorpora automáticamente otra capacidad de autenticación en una situación de alto riesgo como un ataque BITB y la identidad del usuario permanece protegida.

La autenticación basada en riesgos se puede incorporar a través de una plataforma de administración de acceso e identidad del consumidor (CIAM) basada en la nube que restringe el acceso no autorizado incluso si los usuarios aprovechan las capacidades de inicio de sesión única.

Arquitectura de confianza cero

La confianza cero es el concepto de seguridad basado en la creencia de que las empresas no deben confiar automáticamente en ningún dispositivo o individuo, ya sea dentro o fuera de sus perímetros y verificar estrictamente todo antes de otorgar acceso.

En pocas palabras, la confianza cero se basa en el principio de «no confíes en nadie». Esta arquitectura corta todos los puntos de acceso hasta que se realiza la verificación adecuada y se establece la confianza.

No se proporciona acceso hasta que el sistema verifique la persona o el dispositivo que solicita el acceso a la dirección IP, el dispositivo o el almacenamiento.

El uso de administradores de contraseñas también podría ayudar en el caso particular de los ataques BITB. Dado que la página de phishing no es una ventana real del navegador, es posible que los administradores de contraseñas con opciones de autocompletar no reaccionen, alertando al usuario que se preguntará por qué la función de autocompletar no funciona.

Las mejores formas de evitar los ataques BITB son en realidad las mismas que para el phishing habitual. Los usuarios no deben hacer clic en enlaces o archivos adjuntos provenientes de fuentes desconocidas a través de correo electrónico o software de mensajería instantánea. Si tiene dudas sobre un correo electrónico proveniente de una entidad o colega aparentemente legítimo, el usuario debe llamar y verificar que efectivamente fue el remitente y que el enlace o archivo compartido es seguro.

También se deben implementar y utilizar soluciones antiphishing. Si es posible, esas soluciones deberían permitir al usuario informar fácilmente al departamento de TI o incluso a las organizaciones antiphishing.

Ejemplo

El Grupo de Análisis de Amenazas (TAG) de Google informó una nueva campaña de ataque del conocido actor de amenazas Ghostwriter. El actor de amenazas se origina en Bielorrusia y ha implementado ataques BITB con las páginas de phishing alojadas en un sitio web comprometido. Una vez que un usuario proporciona sus credenciales, se envían a un servidor remoto controlado por el atacante. Algunos de los dominios de phishing observados recientemente utilizados por Ghostwriter se centran en Ucrania.

Sospechamos que muchos más actores de amenazas se adaptarán rápidamente y utilizarán esta nueva técnica en sus campañas de ataque.

Conclusión

Un nuevo tipo de ataque cibernético conocido como ataque de «navegador en navegador» es la nueva forma en que los ciberdelincuentes pueden atacar tu PC. Las tecnologías modernas de creación de sitios web han mejorado hasta el punto en que pueden mostrar prácticamente cualquier cosa en la página: desde campos de cualquier color o forma hasta animaciones que imitan los componentes móviles de la interfaz. Esto implica que un phisher puede utilizarlos para crear una página completa desde otro servicio dentro de su sitio web.

Dado que las empresas globales se enfrentan a enormes desafíos cuando se trata de garantizar una seguridad sólida para sus consumidores, confiar en MFA, RBA y arquitectura de confianza cero puede proporcionar el más alto nivel de seguridad cuando se trata de prevenir ataques de navegador en el navegador.

Las empresas pueden elegir una solución CIAM confiable que ayuda a las marcas a proteger las identidades de sus consumidores aprovechando el verdadero potencial de la autenticación multifactor, la autenticación basada en riesgos y la arquitectura de confianza cero.