Har du någonsin velat bli nätfiskare? Det är enklare än någonsin med ett nytt nedladdningsbart kit.
Nätfiskepaketet låter vem som helst ladda ner mallarna som behövs för att skapa falska versioner av inloggningsformulär för enkel inloggning – miniwebbläsarfönstren som dyker upp för att låta användare logga in på en tredjepartswebbplats med sina konton på tjänster som Google, Apple eller Twitter.
Dessa nätfiskewebbläsare är inte bara lätta att skapa, utan de är också otroligt svåra att upptäcka och kan lura till och med en erfaren tekniker som lätt kan upptäcka de flesta andra nätfiskesystem.
Hur det fungerar
Kitet skapades av en säkerhetsforskare, mr.d0x, som har släppt det på GitHub. Forskaren har kallat den nya formen av nätfiskeattacker till en “Browser in the Browser” (BitB) attack.
Mallar i satsen inkluderar Google Chrome för Windows och Mac, med versioner av både mörkt och ljust läge.
Nätfiskare kommer fortfarande att behöva locka ett offer till en falsk inloggningssida, men när de klickar på knappen för att logga in kommer de att se en bild renderad med anpassad HTML och CSS för att likna ett webbläsar-popup-fönster.
Oj, det är otäckt: Browser In The Browser (BITB) Attack, en ny nätfisketeknik som tillåter att stjäla referenser som inte ens en webbproffs kan upptäcka. #Säkerhet https://t.co/cxU83DMEzt pic.twitter.com/m9eYOmq0al
— François Zaninotto 🇺🇦 (@francoisz) 18 mars 2022
Utcheckning av webbadressen
En stor del av det som gör det här tricket så övertygande är att webbadressen – platsen där cybersäkerhetsträning säger åt alla att dubbelkolla efter stavfel eller dolda anpassade underdomäner – kan förfalskas.
Den uppenbara webbläsarens popup-fönster är faktiskt inte en riktig popup, så webbadressen kan säga vad nätfiskaren vill att den ska göra.
Hur övertygande är de? Ta en titt.
