Siamo tutti abituati a ricevere dei messaggi scritti male, pieni di errori, o a incappare in alcuni siti che appaiono falsi anche a prima vista.
La tecnologia evolve di continuo e con essa anche i tentativi di phishing così da qualche tempo è stato osservato l'utilizzo di uno strumento che rende più efficaci gli attacchi di phishing.
È stato dimostrato che è possibile simulare una finestra SSO (single signo on) al fine di convicere più facilmente le vittime ad inserire i propri dati di accesso su una pagina di phishing.
L'attacco in questione è stato denominato "Browser in the Browser".
Questo attacco carica una finestra di login tramite un popup interno alla pagina web di origine.
Il pretesto è quasi sempre un'offerta troppo vantaggiosa, una vincita, in ogni caso un messaggio con carattere di urgenza. Per rendere il tutto più rassicurante però, al posto della richiesta dei dati personali attraverso il classico form, quest'operazione viene fatta attraverso l'apertura di un popup identico alle finestre di Single Sign On che siamo ormai abituati a vedere apparire.
Il Single Sign On, spesso abbreviato in SSO, è un metodo di autenticazione molto diffuso per la sua comodità:
basta effettuare l'accesso a Google, o ad uno dei più diffusi account di posta elettronica, per poter sfruttare lo stesso meccanismo di autenticazione anche in altri siti senza la necessità di creare ulteriori account e di dover ricordare l'ennesima password.
A causa del falso senso di sicurezza indotto da questo processo, da qualche tempo si sta considerando sempre meno sicuro questo demandare il processo di autenticazione a terzi, anche se i soggetti in questione godono della reputazione dei più blasonati nomi della Silicon Valley: Google, Facebook, Apple.
È relativamente semplice, attraverso gli attuali strumenti di progettazione di pagine web, ricreare l'aspetto di una di queste finestra di login. Con l'utilizzo di codice JavaScript, inoltre, diventa possibile programmare l'apertura di questi popup in base a determinate azioni e adattarlo facilmente ai diversi dispositivi dell'utente.
Con questi presupposti la vittima non è più in grado di capire se è di fronte ad un popup fraudolento o ad una finestra SSO legittima.
Quali misure adottare al fine di proteggersi da questo tipo di attacchi?
Bisogna tenere sempre a mente che se i messaggi contenuti in un'email o in un popup fanno leva sull'urgenza, inducono ad agire tempestivamente minacciando altrimenti gravi conseguenze o, al contrario, promettono premi o offerte che sembrano semplicemente troppo vantaggiose, molto probabilmente nascondono un tentativo di phishing. È necessario verificare sempre le informazioni che troviamo online prima di inserire i propri dati e le proprie credenziali.
Esistono poi degli strumenti software che ci aiutano ad identificare i tentativi fraudolenti:
+ Adotta un password manager.
È molto più semplice ingannare una persona che un software per la gestione delle credenziali. In questo modo, anche nel caso si incappasse in un sito fraudolento, il password manager riconoscerà il nuovo dominio e non caricherà automaticamente i campi del login.
+ Imposta l’autenticazione a 2 fattori quando possibile.
Con il doppio fattore di autenticazione, anche nel caso si inserissero le proprie credenziali all'interno di una finestra di login fraudolenta si sarebbe comunque tutelati:
il nostro provider di autenticazione legittimo, non ricevendo la nostra richiesta di login, non invierà alcuna notifica da accettare al nostro smartphone. Eventuali Threat Actors che dovessero entrare in possesso delle nostre credenziali non potrebbero sfruttarle senza la nostra approvazione.
+ Installa un ad-blocker come estensione del browser.
Questo permetterà di bloccare anche molti annunci pubblicitari, oltre ai popup e agli script che reindirizzano a siti malevoli.