Browser-in-the-Browser フィッシング攻撃

グループ IB の研究者が発表したレポートでは、フィッシング攻撃に対する新しいアプローチが詳細に説明されています。

新しい攻撃手法は「ブラウザ イン ザ ブラウザ」と呼ばれ、一部のモバイル フィッシング キットで使用されるフィッシング オーバーレイに少し似ています。新しい方法を使用した攻撃は、主に Steam ゲーム プラットフォームのユーザーを対象としており、数千ドル相当のアカウントを所有するゲーマーを対象としていました。

この攻撃は、偽の Steam 資格情報ログイン ウィンドウの作成に依存しています。攻撃が非常に斬新で成功している手口とその理由は、なりすましのフィッシング ウィンドウが改ざんされて、Steam によって運営されているページの実際の URL を表示することです。

秘訣は、ページが単なるページのレンダリングであり、実際のページではないということです。これにより、フィッシング キャンペーンの背後にいる脅威アクターは南京錠の SSL シンボルを表示し、フィッシング ページにさらに偽りの正当性を与えることができます。

フィッシング テンプレートは、動作するために HTML と JavaScript だけに依存しています。ブラウザ イン ザ ブラウザ攻撃のこの特定の反復のテンプレートは、オンラインで広く利用できるようにはなっておらず、代わりに、Telegram の比較的少数の攻撃者グループに配布されています。

攻撃がログイン ページの正当な URL をブラウザ ウィンドウに表示し、非常に説得力があるように見えるという事実は、少し恐ろしく、ユーザーがオンライン プライバシーと資格情報に注意を払う必要があることを示しています。