Browser In The Browserとは?
▪ 本物そっくりの偽サイトで、ユーザをだます手法「フィッシング攻撃」の一つとして最近?提唱されました
被害者 偽サイト 悪い人
本物と勘違いして
重要な情報を入力
悪い人に情報が
漏洩してしまう
フィッシングの例
Slide 4
Slide 4 text
Browser In The Browserとは?
▪ フィッシングサイトの判別方法の1つは、「URLバーをよく見る」
偽物の場合は、URLが誤っている
例:
・twiter.com(tがない)
・twltter.com(iじゃなくl)
など
Slide 5
Slide 5 text
Browser In The Browserとは?
▪ BITBは、「URLバーをよく見る」を欺く手法
▪ 最近は、別サイトのアカウントで認証することが増えている
サイトA
Google, MS, Facebook, etc..
サイトB
サイトAのアカウントを
使ってサイトBにログイン
Slide 6
Slide 6 text
Browser In The Browserとは?
▪ BITBは、「URLバーをよく見る」を欺く手法
▪ 別サイトのアカウントを使ってログインする際は、小ウィンドウが表示される
https://サイトB
https://サイトA
サイトAのアカウントを利用する場合、
小ウィンドウで
サイトAの認証画面が表示される
ID
PW
user
****
Slide 7
Slide 7 text
Browser In The Browserとは?
▪ BITBは、「URLバーをよく見る」を欺く手法
▪ BITBは、小ウィンドウ風の画面をURLバー含めてブラウザの中にブラウザを再現することで、
認証情報などを抜き去る手法
https://サイトB
https://サイトA
URLバーも含めて、
ブラウザの中にブラウザを再現
ID
PW
user
****
狙いはサイトAの認証情報!
Slide 8
Slide 8 text
Browser In The Browserとは?
▪ BITBは、「URLバーをよく見る」を欺く手法
▪ サンプル
URLバーだけで判断しようとすると、
正規のサイトのように見える
(テスト用なので、
他が明らかに怪しいが笑)
この情報の送り先は、
攻撃者のサイト!
Slide 9
Slide 9 text
Browser In The Browserとは?
▪ ブラウザ内にブラウザ風の描画を作っている
▪ ソース(https://github.com/mrd0x/BITBより引用)
Slide 10
Slide 10 text
Browser In The Browserの対策
▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること!
“ブラウザの中でブラウザを再現”
しているだけなので、
ブラウザの外に出れない!