El phishing es una de las principales amenazas de ciberseguridad tanto para las empresas como para los usuarios en general, y no dejan de expandirse siendo cada vez más sofisticados y más difíciles de detectar.
El último ejemplo de ello es una técnica denominada "ataque de navegador en el navegador" o "BitB" (browser-in-the-browser), que permite a los ciberdelincuentes crear ventanas falsas de inicio de sesión en Google Chrome que falsifican dominios legítimos haciendo que el phishing sea muy convincente y prácticamente indetectable.
Según informa Bleeping Computer, el método BitB crea las ventanas falsas del navegador dentro de ventanas reales y para ello utiliza plantillas prefabricadas que fueron desarrolladas por un investigador de seguridad que se hace llamar mr.dox en Twitter. Él mismo publicó en GitHub las plantillas, que permiten recrear ventanas emergentes para Google Chrome en Windows y Mac, y mostrar formularios de inicio de sesión para cualquier plataforma online. Además, estas plantillas también permiten personalizar las URLs para que sea más complicado para los usuarios comprobar su veracidad y hacerles creer que están dando sus datos de inicios de sesión a sitios legítimos.
"Una vez que llega al sitio web propiedad del atacante, el usuario estará tranquilo mientras escribe sus credenciales en lo que parece ser el sitio web legítimo (porque así lo indica la URL)", ha afirmado mrd0x.
El ataque de navegador en el navegador es por tanto una técnica para robar credenciales y en realidad no es nueva. Según informó Zscaler, en el 2020 ya fue utilizada en sitios de juegos falsos para robar credenciales de Steam. No obstante, desde Bleeping Computer avisan que esta ciberamenaza puede ser ahora más habitual y peligrosa dado que las plantillas para crear ventanas de Chrome falsas están disponibles en GitHub.
Cómo protegerse ante los ataques BitB
Ante esta técnica de phishing, se recomienda a los usuarios asegurarse previamente de las páginas a las que están accediendo y en las que están facilitando sus datos personales. Además, para crear una barrera extra de protección también es aconsejable habilitar la autenticación en dos pasos.