Satu kit phishing terbaru membolehkan sesiapa sahaja membuat tetingkap pelayar web Chrome palsu.
Kit phishing ini dapat memberi ‘laluan’ kepada para penyelidik keselamatan beserta individu yang berhasrat menjadi *ehem*penjenayah siber*ehem* untuk mencipta borang log masuk pancingan data yang berkesan menggunakan tetingkap pelayar web Chrome palsu tanpa dapat dilihat secara nyata penyamarannya.
Menjadi pilihan biasa untuk melog masuk ke dalam mana-mana laman web menggunakan pilihan akaun Google, Microsoft, Twitter, dan sebagainya lagi.
Apabila butang log masuk diklik, satu tetingkap log masuk tunggal (SSO) akan dipaparkan, yang meminta pengguna memasukkan butiran lengkap sebelum dapat memasuki laman berkenaan.
Pelaku ancaman telah cuba mencipta tetingkap SSO palsu ini menggunakan HTML, CSS dan JavaScript pada masa lalu, tetapi biasanya terdapat sesuatu yang tidak kena pada tetingkap tersebut, menjadikannya kelihatan mencurigakan.
Di sinilah serangan Browser In The Browser (BITB) digunakan menerusi templat prabuatan untuk mencipta tetingkap popup Chrome palsu (tetapi realistik) dengan memasukkan alamat URL tersuai beserta tajuk.
Anda boleh lihat pada tangkap layar di bawah, bagaimana realistiknya tetingkap palsu tersebut. Secara asasnya, serangan ini mencipta tetingkap pelayar web palsu dalam tetingkap pelayar web sebenar untuk menghasilkan satu bentuk pancingan data yang meyakinkan.
Templat tersebut telah dibuat oleh penyelidik keselamatan siber, mr.d0x. Ia boleh dimuat turun di GitHub sekiranya anda berminat untuk menguji Browser In The Browser Attack ini: GitHub
Sumber: mr.d0x
