Pular para o conteúdo principal

O que é um ataque de navegador dentro de navegador? Quais são as principais características a serem consideradas?

 Aba do navegador Chrome mostrando facebook.com na URL

Imagem: zulfugar karimov / unsplash
Resumo criado pela Smart Answers AI

Resumindo:

  • Os ataques do tipo "navegador dentro de navegador" (BitB) criam janelas de login falsas e convincentes dentro das abas do navegador, imitando pop-ups legítimos para roubar credenciais do Facebook e outras informações da conta.
  • A PCWorld explica que esses ataques de phishing são difíceis de detectar porque apresentam URLs falsificadas realistas e testes CAPTCHA que se assemelham muito aos processos de login autênticos.
  • Os usuários podem se proteger verificando se os pop-ups se movem para fora das abas do navegador, acessando os sites diretamente e usando gerenciadores de senhas com autenticação de dois fatores.

Recentemente, uma nova forma de roubar informações de login do Facebook veio à tona: hackers usando janelas falsas dentro do seu navegador para imitar janelas pop-up legítimas de login. Chamado de ataque "navegador dentro de navegador" (BitB, na sigla em inglês), esse tipo de phishing dá um novo enfoque a um golpe já conhecido.

Documentado pela primeira vez pelo especialista em segurança mr.d0x em 2022 , esse tipo de ataque envolve um site comprometido ou falso que exibe o que parece ser uma janela de login. Na verdade, trata-se de um elemento gerado dentro da aba do navegador, projetado para se parecer com uma janela de login legítima do serviço, incluindo uma exibição falsificada (visualmente adulterada) do endereço web de login legítimo. Se um usuário enviar suas credenciais pelo formulário, um invasor pode assumir o controle da conta ou coletar os dados para vender ou usar em ataques futuros.

Como os ataques BitB ganharam força apenas nos últimos seis meses — e como imitam com tanta precisão detalhes genuínos, como um URL legítimo na barra de endereços e até mesmo testes CAPTCHA — eles podem ser difíceis de detectar imediatamente. Aliás, eu abordo esse assunto e, à primeira vista, o pop-up de login falso parece bem real. A pista na captura de tela de exemplo está, na verdade, no URL da janela principal.

Página de login falsa do Facebook, que funciona como um navegador dentro de outro navegador.
Uma captura de tela de uma página de login falsa, criada pela empresa de segurança Trellix, que detalha essa campanha específica de coleta de credenciais do Facebook.
Treliça

Então, como evitar cair nessa armadilha? Algumas maneiras, além de algumas dicas de segurança já conhecidas:

  • Sempre acesse um site diretamente . Navegue até a página de login você mesmo, em uma nova aba do navegador.
  • A janela não sairá dos limites da sua aba do navegador. Este é o método de verificação mais fácil: tente mover a "janela" pop-up para fora da aba do navegador. Se for realmente uma segunda janela, você conseguirá separá-las. (Você também pode verificar a barra de tarefas do Windows para confirmar.)
  • Use um gerenciador de senhas. Esses serviços só oferecerão a opção de preencher suas credenciais em sites que correspondam à senha salva junto com a sua senha.
  • Ative a autenticação de dois fatores. Se você for vítima de um ataque de phishing, essa segunda etapa de verificação de login pode impedir que um criminoso roube sua conta. (No entanto, não é garantia de sucesso, já que sites de phishing também podem usar códigos de autenticação de dois fatores se você compartilhar um acidentalmente .)
  • Use senhas sempre que possível. As senhas têm uma dupla vantagem. Primeiro, elas estão vinculadas ao site para o qual foram criadas, então mesmo que você tente usá-las em um site falso, não funcionará. Segundo, elas podem ajudar a sinalizar que você está em uma página falsa, caso ela não ofereça a opção de fazer login com sua senha. (Infelizmente, o Facebook só permite logins com senha em dispositivos móveis, então isso não se aplicaria a este ataque recente.)

Dentre essas dicas, mover uma janela pop-up para verificar se ela pode ser separada da aba original do navegador é um novo hábito a ser desenvolvido — mais um ponto a se lembrar em meio às metodologias em constante mudança usadas pelos atacantes. Meu conselho? O mais simples é sempre fazer login em um site usando abas e janelas do navegador que você mesmo abriu, utilizando uma senha. Para a maioria das pessoas, isso significa menos estratégias específicas para memorizar, mesmo acompanhando as últimas notícias.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Apple Intelligence

  O iOS 18.2 trouxe  uma série de novos recursos dentro da suíte Apple Intelligence   e isso também está exigindo mais armazenamento livre nos iPhones, iPads e Macs compatíveis. Conforme as novas diretrizes da Apple, agora  o usuário precisa manter ao menos 7 GB de memória livre  no dispositivo caso deseje usar as funcionalidades de Inteligência Artificial. Ou seja, um aumento considerável em relação aos 4 GB de armazenamento  exigidos anteriormente no iOS 18.1 . A Apple diz que essa mudança é necessária porque muitas das funções de IA são processadas localmente pela NPU Apple Silicon, algo que exige mais espaço de memória. Caso o usuário não tenha os 7 GB disponíveis, ele será impedido de usar a IA para gerar emojis (Genmoji) ou conversar com a nova Siri, que tem o ChatGPT integrado.   Recursos mais "simples", como a tradução ou resumo de textos, também deixam de funcionar. Na prática, usuários que procuram comprar os novos aparelhos da linha  iP...
Postar um comentário
Read more »

“internet zumbi”

 A ascensão do slop, diz ele, transformou a rede social em um espaço onde “uma mistura de bots, humanos e contas que já foram humanos, mas não se misturam mais para formar um site desastroso onde há pouca conexão social”. Nick Clegg, presidente de assuntos globais da empresa-mãe do Facebook, Meta, escreveu em fevereiro que a rede social está treinando seus sistemas para identificar conteúdo feito por IA. “Como a diferença entre conteúdo humano e sintético fica turva, as pessoas querem saber onde está o limite”, escreveu ele. O problema começou a preocupar a principal fonte de receita da indústria de mídia social: as agências de publicidade que pagam para colocar anúncios ao lado do conteúdo. Farhad Divecha, diretor-gerente da agência de marketing digital AccuraCast, com sede no Reino Unido, diz que agora está encontrando casos em que os usuários estão sinalizando erroneamente os anúncios como slop feitos de IA quando não estão. “Vimos casos em que as pessoas comentara...
Postar um comentário
Read more »

A MENTE ARTÍSTICA

Em seu novo livro, as autoras Susan Magsamen, fundadora e diretora do International Arts + Mind Lab, e Ivy Ross afirmam que fazer e experimentar arte pode nos ajudar a florescer Quando Susan Magsamen tomou a decisão de terminar seu primeiro casamento, ela enfrentou dias emocionais e difíceis trabalhando não apenas em seus próprios sentimentos, mas os de seus filhos pequenos. Foi preciso um pedaço de argila de uma criança para mudar tudo isso. Como ela relata em seu novo livro, Your Brain on Art: How the Arts Transform Us (Random House, 2023), ela "começa a esculpir espontaneamente. O que emergiu foi uma estátua de uma mulher de joelhos, seus braços levantados com as mãos estendendo o céu e sua cabeça inclinada para trás, soluçando em total desespero sem palavras." Logo, ela escreve, ela mesma estava em lágrimas. Podemos reconhecer essa ação como um exemplo de uso de nossa criatividade para expressar e liberar emoções reprimidos. Mas como Magsamen, fundadora e diretora executi...
Postar um comentário
Read more »