CSIRT KNF ostrzegł przed nowym atakiem na internautów z Polski, który wykorzystuje znaną już z przeszłości, ale rzadko wykorzystywaną i sprytną technikę zwaną "browser in the browser", czyli przeglądarka w przeglądarce. Pozwala ona wyświetlić prawdziwy adres strony internetowej, na której podaje się np. login i hasło do konta, choć w rzeczywistości jest ona sfałszowana.

Przeczytajcie także: • PSP pracuje nad zbliżeniowym Blikiem na smartfony iPhone

Kampania, przed którą ostrzega właśnie CSIRT KNF, wymierzona jest w użytkowników platformy Steam, ale celem podobnego ataku może zostać praktycznie każdy. Warto więc pamiętać, jak działają w tym przypadku oszuści i jak się bronić, aby nie udostępnić swoich cennych danych złodziejom.

Oszustwo inicjowane jest przez link prowadzący na fałszywą stronę dostawcy usługi, a więc np. platformy Steam, serwisu społecznościowego czy banku. Link możecie otrzymać mejlem czy w wiadomości sms. Na fałszywą stronę możecie też trafić np. poprzez reklamę w sieci. Po otwarciu fałszywej strony od razu wyskoczy Wam nowe okienko tzw. popup, w którym adres strony będzie prawidłowy, ponieważ będzie sztucznie wygenerowany przez oszustów. Wprowadzając tam login i hasło do jakiegokolwiek konta udostępnicie je przestępcom.

Przeczytajcie także: • PeP wykorzystały licencję KIP należącą wcześniej do PayLane

Jak rozpoznać atak i nie pozwolić na to, by zostać jego ofiarą? Tłumaczy to serwis sekurak.pl. Przede wszystkim fałszywa strona, do której prowadzi link inicjujący atak, będzie miała błędny adres. Dopiero po wejściu na nią wyświetli się popup z prawidłowym adresem, więc przed zalogowaniem warto sprawdzić adres strony w obu oknach. Przed otwarciem nowego wyskakującego okienka może uchronić blokada, którą można aktywować w ustawieniach przeglądarki.

Wreszcie dobrym zabezpieczeniem przed atakiem "browser in the browser" jest używanie sprzętowych kluczy U2F. Więcej na ich temat w tekście Banki powoli przekonują się do kluczy U2F. Ale standardem na polskim rynku szybko się one nie staną.