A böngésző a böngészőben (browser-in-the-browser – BitB) támadás egy 2022-ben, akkor még csak elméleti síkon bemutatott adathalászati technika, amit ma már széles körben használnak a kiberbűnözők.

A BitB technika az adathalászat egy kifinomult módja: a támadók legitimnek tűnő, hamis weboldalakat hoznak létre, amelyeken a felhasználók csak bejelentkezés után tudnak bárminemű műveletet végrehajtani, például hozzászólásokat írni vagy vásárolni. A bejelentkezéshez használt felugró ablakban olyan népszerű szolgáltatások bejelentkezési oldalait másolják le a támadók, mint a Microsoft, a Google vagy a Facebook. A támadás során felugrik egy hamis bejelentkezési ablak egy népszerű, megbízhatónak tűnő szolgáltató nevében, ám a valódi bejelentkezési oldal helyett a felhasználó egy hamis űrlappal találkozik.

Egy facebookos hitelesítő adatok megszerzésére irányuló kampány során a csalók egy jogi iroda megszemélyesítésével, szerzői jogok megsértésének vádjával keresik fel e-mailben áldozataikat és fenyegetik meg őket a felhasználói fiókuk azonnal felfüggesztésével, ráadásul a Meta nevében hamis biztonsági értesítéseket is küldenek valójában nem létező, jogosulatlan bejelentkezésekről.

Hogyan védekezhetünk a BitB támadások ellen?

A legegyszerűbb védekezési módszer az ilyen jellegű támadások ellen a jelszókezelők használata. Mikor a bejelentkezési adatok automatikus kitöltéséről van szó, a jelszókezelők a valódi URL címet ellenőrzik, nem pedig azt, hogy mi került a címsorban megjelenítésre, így a legegyszerűbb szabály jelszókezelők használata mellett a következő: ha a jelszókezelő felajánlja a bejelentkezési adatok automatikus kitöltését, akkor olyan weboldalon járunk, ahol korábban mentettünk el hitelesítő adatokat – így mindenképp gyanúra adhat okot, ha a jelszókezelő nem ajánlja fel a segítséget.

Figyelem!

· Ahol csak módunkban áll, használjunk kétfaktoros azonosítást (2FA)!

· Minden felhasználói fiókhoz használjunk kellően hosszú, változatos karakterekből álló, egyedi jelszavakat!

· Ne nyissunk meg ismeretlen forrásból érkező e-maileket és üzeneteket, továbbá ne kattintsunk az ily módon kapott hivatkozásokra sem!

· Mindig kezeljünk kellő gyanakvással az érzelmeinkre ható (pl. sürgető, bűntudat- vagy pánikkeltő) üzenetet, illetve az interakciót kérő megkereséseket (pl. válaszadás, linkre kattintás, űrlapkitöltés)!

· Hivatalosnak tűnő e-mailek és üzenetek esetén érdemes felkeresni a megkeresésben feltüntetett szervezetek hivatalos elérhetőségeinek valamelyikét, és ott érdeklődni az üzenetek valódiságáról.

· Amennyiben úgy érezzük, hogy adathalász üzenettel van dolgunk, jelentsünk a platformok üzemeltetőinek, munkahelyi környezetben pedig a szervezet rendszergazdáinak!

A teljes cikk a Nemzeti Kiberbiztonsági Intézet oldalán érhető el.