Slide 1

Slide 1 text

Browser In The Browser ~URLバーを再現する新しいフィッシング攻撃手法~ @shunaroo

Slide 2

Slide 2 text

自己紹介 @shunaroo ▪ 経歴 (重複あり) ▪ Webアプリ開発 5~6年 ▪ Web/NW脆弱性診断 3~4年 ▪ コンサルもどき 1~2年 ▪ 趣味 ▪ 犬を愛でる ▪ ゴルフ

Slide 3

Slide 3 text

Browser In The Browserとは? ▪ 本物そっくりの偽サイトで、ユーザをだます手法「フィッシング攻撃」の一つとして最近?提唱されました 被害者 偽サイト 悪い人 本物と勘違いして 重要な情報を入力 悪い人に情報が 漏洩してしまう フィッシングの例

Slide 4

Slide 4 text

Browser In The Browserとは? ▪ フィッシングサイトの判別方法の1つは、「URLバーをよく見る」 偽物の場合は、URLが誤っている 例: ・twiter.com(tがない) ・twltter.com(iじゃなくl) など

Slide 5

Slide 5 text

Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 最近は、別サイトのアカウントで認証することが増えている サイトA Google, MS, Facebook, etc.. サイトB サイトAのアカウントを 使ってサイトBにログイン

Slide 6

Slide 6 text

Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 別サイトのアカウントを使ってログインする際は、小ウィンドウが表示される https://サイトB https://サイトA サイトAのアカウントを利用する場合、 小ウィンドウで サイトAの認証画面が表示される ID PW user ****

Slide 7

Slide 7 text

Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ BITBは、小ウィンドウ風の画面をURLバー含めてブラウザの中にブラウザを再現することで、 認証情報などを抜き去る手法 https://サイトB https://サイトA URLバーも含めて、 ブラウザの中にブラウザを再現 ID PW user **** 狙いはサイトAの認証情報!

Slide 8

Slide 8 text

Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ サンプル URLバーだけで判断しようとすると、 正規のサイトのように見える (テスト用なので、 他が明らかに怪しいが笑) この情報の送り先は、 攻撃者のサイト!

Slide 9

Slide 9 text

Browser In The Browserとは? ▪ ブラウザ内にブラウザ風の描画を作っている ▪ ソース(https://github.com/mrd0x/BITBより引用)

Slide 10

Slide 10 text

Browser In The Browserの対策 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること! “ブラウザの中でブラウザを再現” しているだけなので、 ブラウザの外に出れない!

Slide 11

Slide 11 text

まとめ ▪ BITBとは、「URLバーをよく見る」を欺くフィッシング攻撃の一種 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること ▪ あの手この手で、騙そうとしてくるので、ご注意ください! ▪ なお、本手法は絶対に悪用しないでください!

Slide 12

Slide 12 text

参考 ▪ Browser In The Browser (BITB) Attack ▪ https://mrd0x.com/browser-in-the-browser-phishing-attack/ ▪ BITB ▪ https://github.com/mrd0x/BITB