Metode Browser-in-the Browser Membuat Phishing Sulit Terdeteksi

Mark Teknologi
Mark Teknologi
November 30, 2023


Metode phishing terbaru yang dikenal sebagai serangan browser-in-the-browser (BitB) dapat digunakan untuk mereplikasi jendela browser di dalam browser untuk memalsukan situs asli, memungkinkan serangan phishing yang meyakinkan.


Menurut mrd0x, penguji penetrasi dan peneliti keamanan di Twitter, pendekatan ini menggunakan pilihan sistem masuk tunggal (SSO) pihak ketiga yang disertakan di situs web seperti "Masuk dengan Google" (atau Facebook, Apple, atau Microsoft).


Sementara perilaku khas ketika menggunakan teknik ini akan disambut oleh jendela pop-up untuk menyelesaikan prosedur otentikasi, serangan BitB bermaksud untuk membuat ulang seluruh proses ini menggunakan campuran kode HTML dan CSS untuk menghasilkan jendela browser yang dibuat sepenuhnya.



"Gabungkan desain jendela dengan iframe yang menautkan ke server jahat yang menghosting situs web phishing, dan itu hampir tidak dapat dibedakan," kata mrd0x dalam penulisan teknis minggu lalu. "JavaScript dapat dengan mudah digunakan agar jendela muncul saat tautan atau tombol diklik, saat halaman dimuat, dan seterusnya."


Anehnya, pendekatan ini telah dieksploitasi di alam liar setidaknya sekali. Zscaler mengungkapkan detail kampanye yang menggunakan teknik BitB untuk mencuri kredensial untuk layanan distribusi digital video game Steam melalui situs web Counter-Strike: Global Offensive (CS: GO) palsu pada Februari 2020.


"Biasanya, pengguna mendeteksi situs phishing dengan memeriksa untuk melihat apakah URL itu asli, apakah situs web tersebut menggunakan HTTPS, dan apakah ada bentuk homograf dalam domain, antara lain," kata peneliti Zscaler Prakhar Shrotriya di waktu.


Contoh Phising

"Semuanya tampak beres dalam skenario ini karena domainnya adalah steamcommunity[.]com, yang asli dan menggunakan HTTPS. Namun, ketika kami mencoba menyeret prompt ini dari jendela yang saat ini terbuka, itu menghilang di luar batas jendela sejak itu bukan pop-up browser nyata dan dibuat di jendela saat ini menggunakan HTML."


Sementara strategi ini secara substansial menyederhanakan pelaksanaan operasi social engineering yang efisien, penting untuk dicatat bahwa calon korban harus dikirim ke domain phishing yang dapat menampilkan jendela login palsu agar pengambilan kredensial terjadi.


"Namun, begitu berada di situs web penyerang, korban akan merasa tenang saat mereka memasukkan kredensial mereka pada apa yang tampak sebagai situs web asli (karena URL yang dapat dipercaya mengatakan demikian)," kata mrd0x.