Serangan Browser In The Browser
Hi agan kali ini aaron akan ngasih info soal serangan Browser In The Browser yaitu teknik phishing baru, browser-in-the-browser (BitB) dapat dimanfaatkan untuk mensimulasikan jendela browser di dalam browser untuk menipu area yang sah, sehingga memungkinkan untuk melakukan serangan phishing yang meyakinkan.
Menurut penguji penetrasi dan peneliti keamanan, yang menggunakan pegangan mrd0x_, metode ini memanfaatkan sistem masuk tunggal pihak ketiga (SSO) opsi yang disematkan di situs net seperti “Masuk dengan Google” (atau Fb, Apple, atau Microsoft).
Sementara perilaku default ketika pengguna mencoba untuk masuk melalui metode ini akan disambut oleh jendela pop-up untuk menyelesaikan proses otentikasi, serangan BitB bertujuan untuk mereplikasi seluruh proses ini menggunakan campuran kode HTML dan CSS untuk membuat jendela browser yang sepenuhnya dibuat-buat.
“Gabungkan desain jendela dengan iframe yang menunjuk ke server jahat yang menghosting halaman phishing, dan pada dasarnya tidak dapat dibedakan,” mrd0x_ dikatakan dalam penulisan teknis yang diterbitkan minggu lalu. “JavaScript dapat dengan mudah digunakan untuk membuat jendela muncul pada tautan atau klik tombol, pada pemuatan halaman, dll.”
Meskipun metode ini secara signifikan membuatnya lebih mudah untuk dipasang secara efektif kampanye rekayasa sosial perlu diperhatikan bahwa calon korban perlu dialihkan ke area phishing yang dapat menampilkan jendela autentikasi palsu untuk pengambilan kredensial.
“Tapi begitu mendarat di situs net milik penyerang, pengguna akan merasa nyaman saat mereka mengetikkan kredensial mereka di situs yang tampaknya sah (karena URL yang dapat dipercaya mengatakan demikian),” tambah mrd0x_.
.jpg)
1 comment