Tenga cuidado, esa ventana emergente de contraseña podría ser falsa

March 25, 2022
EnNoticias Seguridad De Internet

Un investigador de seguridad ha ideado una forma de crear ventanas emergentes de inicio de sesión único muy convincentes pero falsas.
Las ventanas emergentes falsas utilizan direcciones URL legítimas para parecer más genuinas.
El truco demuestra que a las personas que solo usan contraseñas les robarán sus credenciales tarde o temprano, advierten los expertos.

Alguien que usa dos computadoras portátiles y un teléfono inteligente para recopilar información en línea. — Boda de Boonchai / Getty Images

navegando por la web se está volviendo más complicado diario.

La mayoría de los sitios web en estos días ofrecen múltiples opciones para crear una cuenta. Puede registrarse en el sitio web o utilizar el mecanismo de inicio de sesión único (SSO) para iniciar sesión en el sitio web utilizando sus cuentas existentes con empresas acreditadas como Google, Facebook o Apple. Un investigador de seguridad cibernética aprovechó esto e ideó un mecanismo novedoso para robar sus credenciales de inicio de sesión mediante la creación de una ventana de inicio de sesión SSO falsa prácticamente indetectable.

"La creciente popularidad de SSO brinda muchos beneficios a [las personas]",

scott higgins, Director de Ingeniería en Dispersive Holdings, Inc. le dijo a Lifewire por correo electrónico. "Sin embargo, los piratas informáticos inteligentes ahora se están aprovechando de esta ruta de una manera ingeniosa".

Inicio de sesión falso

Tradicionalmente, los atacantes han empleado tácticas como ataques homógrafos que reemplazan algunas de las letras en la URL original con caracteres de aspecto similar para crear nuevas URL maliciosas difíciles de detectar y páginas de inicio de sesión falsas.

Sin embargo, esta estrategia a menudo se desmorona si las personas examinan cuidadosamente la URL. La industria de la ciberseguridad ha aconsejado durante mucho tiempo a las personas que verifiquen la barra de URL para asegurarse de que incluya la dirección correcta y que tenga un candado verde al lado, lo que indica que la página web es segura.

"Todo esto eventualmente me llevó a pensar, ¿es posible hacer que el consejo 'Verifique la URL' sea menos confiable? Después de una semana de lluvia de ideas, decidí que la respuesta es sí", escribió el investigador anónimo quien usa el seudónimo, mr.d0x.

El ataque creado por mr.d0x, denominado browser-in-the-browser (BitB), utiliza los tres componentes esenciales de la web: HTML, hojas de estilo en cascada (CSS) y JavaScript: para crear una ventana emergente de SSO falsa que es esencialmente indistinguible de la real cosa.

"La barra de URL falsa puede contener lo que quiera, incluso ubicaciones aparentemente válidas. Además, las modificaciones de JavaScript hacen que al pasar el mouse sobre el enlace o el botón de inicio de sesión también aparezca un destino de URL aparentemente válido", agregó Higgins después de examinar al Sr. mecanismo de d0x.

Para demostrar BitB, mr.d0x creó una versión falsa de la plataforma de diseño gráfico en línea, Canva. Cuando alguien hace clic para iniciar sesión en el sitio falso usando la opción SSO, el sitio web muestra la ventana de inicio de sesión creada por BitB con el legítimo dirección del proveedor de SSO falsificado, como Google, para engañar al visitante para que ingrese sus credenciales de inicio de sesión, que luego se envían al atacantes

La técnica ha impresionado a varios desarrolladores web. "Oh, eso es desagradable: Browser In The Browser (BITB) Attack, una nueva técnica de phishing que permite robar credenciales que incluso un profesional web no puede detectar". François Zaninotto, CEO de empresa de desarrollo web y móvil Marmelab, escribió en Twitter.

Mira por dónde vas

Si bien BitB es más convincente que las ventanas de inicio de sesión falsas comunes y corrientes, Higgins compartió algunos consejos que las personas pueden usar para protegerse.

Para empezar, a pesar de que la ventana emergente BitB SSO parece una ventana emergente legítima, en realidad no lo es. Por lo tanto, si toma la barra de direcciones de esta ventana emergente e intenta arrastrarla, no se moverá más allá del borde de la ventana principal. ventana del sitio web, a diferencia de una ventana emergente real que es completamente independiente y se puede mover a cualquier parte del escritorio.

Higgins compartió que probar la legitimidad de la ventana SSO con este método no funcionaría en un dispositivo móvil. "Aquí es donde [la autenticación multifactor] o el uso de opciones de autenticación sin contraseña pueden ser realmente útiles. Incluso si fuera víctima del ataque de BitB, [los estafadores] no necesariamente podrían [usar sus credenciales robadas] sin las otras partes de una rutina de inicio de sesión de MFA", sugirió Higgins.

"Internet no es nuestro hogar. Es un espacio público. Debemos comprobar lo que estamos visitando".

Además, dado que es una ventana de inicio de sesión falsa, el administrador de contraseñas (si está usando uno) no completará automáticamente las credenciales, lo que nuevamente le dará una pausa para detectar algo mal.

También es importante recordar que, si bien la ventana emergente BitB SSO es difícil de detectar, aún debe iniciarse desde un sitio malicioso. Para ver una ventana emergente como esta, ya tendría que haber estado en un sitio web falso.

Por eso, cerrando el círculo, Adrien Género, director de tecnología y producto de seguro, sugiere que las personas deben mirar las URL cada vez que hacen clic en un enlace.

"De la misma manera que verificamos el número en la puerta para asegurarnos de que terminamos en la habitación de hotel correcta, las personas siempre deben echar un vistazo rápido a las URL cuando navegan por un sitio web. Internet no es nuestra casa. Es un espacio público. Debemos revisar lo que estamos visitando”, subrayó Gendre.