Metoda ta pozwala wyświetlić ofierze prawdziwy adres strony logowania, choć w rzeczywistości jest ona sfałszowana
CSIRT KNF ostrzegł przed nowym atakiem na internautów z Polski, który wykorzystuje znaną już z przeszłości, ale rzadko wykorzystywaną i sprytną technikę zwaną "browser in the browser", czyli przeglądarka w przeglądarce. Pozwala ona wyświetlić prawdziwy adres strony internetowej, na której podaje się np. login i hasło do konta, choć w rzeczywistości jest ona sfałszowana.
Kampania, przed którą ostrzega właśnie CSIRT KNF, wymierzona jest w użytkowników platformy Steam, ale celem podobnego ataku może zostać praktycznie każdy. Warto więc pamiętać, jak działają w tym przypadku oszuści i jak się bronić, aby nie udostępnić swoich cennych danych złodziejom.
Oszustwo inicjowane jest przez link prowadzący na fałszywą stronę dostawcy usługi, a więc np. platformy Steam, serwisu społecznościowego czy banku. Link możecie otrzymać mejlem czy w wiadomości sms. Na fałszywą stronę możecie też trafić np. poprzez reklamę w sieci. Po otwarciu fałszywej strony od razu wyskoczy Wam nowe okienko tzw. popup, w którym adres strony będzie prawidłowy, ponieważ będzie sztucznie wygenerowany przez oszustów. Wprowadzając tam login i hasło do jakiegokolwiek konta udostępnicie je przestępcom.
Jak rozpoznać atak i nie pozwolić na to, by zostać jego ofiarą? Tłumaczy to serwis sekurak.pl. Przede wszystkim fałszywa strona, do której prowadzi link inicjujący atak, będzie miała błędny adres. Dopiero po wejściu na nią wyświetli się popup z prawidłowym adresem, więc przed zalogowaniem warto sprawdzić adres strony w obu oknach. Przed otwarciem nowego wyskakującego okienka może uchronić blokada, którą można aktywować w ustawieniach przeglądarki.
Wreszcie dobrym zabezpieczeniem przed atakiem "browser in the browser" jest używanie sprzętowych kluczy U2F. Więcej na ich temat w tekście Banki powoli przekonują się do kluczy U2F. Ale standardem na polskim rynku szybko się one nie staną.
