Browser In The Browser ～URLバーを再現する新しいフィッシング攻撃手法～ @shunaroo

自己紹介 @shunaroo ▪ 経歴 (重複あり) ▪ Webアプリ開発 5~6年 ▪ Web/NW脆弱性診断 3~4年 ▪ コンサルもどき 1~2年 ▪ 趣味 ▪ 犬を愛でる ▪ ゴルフ

Browser In The Browserとは? ▪ 本物そっくりの偽サイトで、ユーザをだます手法「フィッシング攻撃」の一つとして最近?提唱されました 被害者 偽サイト 悪い人 本物と勘違いして 重要な情報を入力 悪い人に情報が 漏洩してしまう フィッシングの例

Browser In The Browserとは? ▪ フィッシングサイトの判別方法の1つは、「URLバーをよく見る」 偽物の場合は、URLが誤っている 例: ・twiter.com(tがない) ・twltter.com(iじゃなくl) など

Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 最近は、別サイトのアカウントで認証することが増えている サイトA Google, MS, Facebook, etc.. サイトB サイトAのアカウントを 使ってサイトBにログイン

Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 別サイトのアカウントを使ってログインする際は、小ウィンドウが表示される https://サイトB https://サイトA サイトAのアカウントを利用する場合、 小ウィンドウで サイトAの認証画面が表示される ID PW user ****

Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ BITBは、小ウィンドウ風の画面をURLバー含めてブラウザの中にブラウザを再現することで、 認証情報などを抜き去る手法 https://サイトB https://サイトA URLバーも含めて、 ブラウザの中にブラウザを再現 ID PW user **** 狙いはサイトAの認証情報!

Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ サンプル URLバーだけで判断しようとすると、 正規のサイトのように見える (テスト用なので、 他が明らかに怪しいが笑) この情報の送り先は、 攻撃者のサイト！

Browser In The Browserとは? ▪ ブラウザ内にブラウザ風の描画を作っている ▪ ソース（https://github.com/mrd0x/BITBより引用）

Browser In The Browserの対策 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること！ “ブラウザの中でブラウザを再現” しているだけなので、 ブラウザの外に出れない！

まとめ ▪ BITBとは、「URLバーをよく見る」を欺くフィッシング攻撃の一種 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること ▪ あの手この手で、騙そうとしてくるので、ご注意ください！ ▪ なお、本手法は絶対に悪用しないでください！

参考 ▪ Browser In The Browser (BITB) Attack ▪ https://mrd0x.com/browser-in-the-browser-phishing-attack/ ▪ BITB ▪ https://github.com/mrd0x/BITB