Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Browser In The Browserの紹介

shunaroo
April 05, 2022
Technology
0
100

Browser In The Browserの紹介

最近、フィッシング攻撃の一つとして、Browser In The Browserと呼ばれる新しい攻撃手法が提案されました。特徴は、URLバーを確認すれば、偽サイトを判別できるという対策を欺くために、ブラウザ内にブラウザのような描画をすることです。対策としては、あくまでブラウザ内で描画しているので、ブラウザ外にでることができるかを確認することが有効です。

shunaroo

April 05, 2022
Tweet

More Decks by shunaroo

See All by shunaroo
Webキャッシュポイズニング
shunaroo
0
410

Other Decks in Technology

See All in Technology
The XZ Backdoor Story
fr0gger
0
3.5k
突撃! 隣のAmazon Bedrockユーザー 〜YouはどうしてAWSで?〜
minorun365
PRO
3
340
LandingZoneAccelerator と学ぶ 「スケーラブルで安全なマルチアカウントAWS環境」と 私たちにもできるベストプラクティス
maimyyym
1
130
四国のあのイベントの〇〇システムを45日間で構築した話 / cloudohenro2024_tachibana
biatunky
0
310
SORACOMで実現するIoTのマルチクラウド対応 - IoTでのクリーンアーキテクチャの実現 -
kenichirokimura
0
360
Developer Experienceを向上させる基盤づくりの取り組み事例集
coconala_engineer
0
120
Oracle Exadata Database Service(Dedicated Infrastructure):サービス概要のご紹介
oracle4engineer
PRO
0
9.5k
プログラム検証入門
riru
5
770
Creative UIs with Compose: DroidKaigi 2024
chrishorner
1
230
AI でアップデートする既存テクノロジーと、クラウドエンジニアの生きる道
soracom
PRO
2
400
Javaにおける関数型プログラミンへの取り組み
skrb
7
310
OCI で始める!! Red Hat OpenShift / Get Started OpenShift on OCI
oracle4engineer
PRO
1
130

Featured

See All Featured
Visualization
eitanlees
142
15k
The Illustrated Children's Guide to Kubernetes
chrisshort
47
48k
Robots, Beer and Maslow
schacon
PRO
157
8.1k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
43
2k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
363
22k
Making the Leap to Tech Lead
cromwellryan
128
8.8k
How to train your dragon (web standard)
notwaldorf
85
5.6k
Building Applications with DynamoDB
mza
90
6k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
123
18k
RailsConf 2023
tenderlove
28
800
Unsuck your backbone
ammeep
667
57k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
25
3.9k

Transcript

  1. Browser In The Browser ~URLバーを再現する新しいフィッシング攻撃手法~ @shunaroo

  2. 自己紹介 @shunaroo ▪ 経歴 (重複あり) ▪ Webアプリ開発 5~6年 ▪ Web/NW脆弱性診断

    3~4年 ▪ コンサルもどき 1~2年 ▪ 趣味 ▪ 犬を愛でる ▪ ゴルフ

  3. Browser In The Browserとは? ▪ 本物そっくりの偽サイトで、ユーザをだます手法「フィッシング攻撃」の一つとして最近?提唱されました 被害者 偽サイト 悪い人 本物と勘違いして

    重要な情報を入力 悪い人に情報が 漏洩してしまう フィッシングの例

  4. Browser In The Browserとは? ▪ フィッシングサイトの判別方法の1つは、「URLバーをよく見る」 偽物の場合は、URLが誤っている 例: ・twiter.com(tがない) ・twltter.com(iじゃなくl)

    など

  5. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 最近は、別サイトのアカウントで認証することが増えている サイトA Google,

    MS, Facebook, etc.. サイトB サイトAのアカウントを 使ってサイトBにログイン

  6. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 別サイトのアカウントを使ってログインする際は、小ウィンドウが表示される https://サイトB https://サイトA

    サイトAのアカウントを利用する場合、 小ウィンドウで サイトAの認証画面が表示される ID PW user ****

  7. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ BITBは、小ウィンドウ風の画面をURLバー含めてブラウザの中にブラウザを再現することで、 認証情報などを抜き去る手法 https://サイトB

    https://サイトA URLバーも含めて、 ブラウザの中にブラウザを再現 ID PW user **** 狙いはサイトAの認証情報!

  8. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ サンプル URLバーだけで判断しようとすると、 正規のサイトのように見える

    (テスト用なので、 他が明らかに怪しいが笑) この情報の送り先は、 攻撃者のサイト!

  9. Browser In The Browserとは? ▪ ブラウザ内にブラウザ風の描画を作っている ▪ ソース(https://github.com/mrd0x/BITBより引用)

  10. Browser In The Browserの対策 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること! “ブラウザの中でブラウザを再現” しているだけなので、 ブラウザの外に出れない!

  11. まとめ ▪ BITBとは、「URLバーをよく見る」を欺くフィッシング攻撃の一種 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること ▪ あの手この手で、騙そうとしてくるので、ご注意ください! ▪ なお、本手法は絶対に悪用しないでください!

  12. 参考 ▪ Browser In The Browser (BITB) Attack ▪ https://mrd0x.com/browser-in-the-browser-phishing-attack/

    ▪ BITB ▪ https://github.com/mrd0x/BITB