Исследователь в области информационной безопасности, использующий псевдоним mr.d0x, описал новую атаку «браузер в браузере» (browser-in-the-browser, BitB). Новый способ кражи учетных данных для входа в систему имитирует всплывающие окна браузера от Google, Microsoft и других поставщиков услуг аутентификации, которые запрашивают имя пользователя и пароль.

Такие службы, как Google Sign-In, будут отображать URL-адрес Google на панели навигации всплывающего окна, убеждая пользователя в безопасности процесса аутентификации. А обход данных средств защиты, встроенных в браузер пользователя, затруднен из-за отсутствия уязвимостей и наличия политик безопасности контента.

Тем не менее существуют такие методы, как кликджекинг или исправление пользовательского интерфейса, которые изменяют внешний вид браузеров и web-страниц с целью обмануть людей и обойти меры безопасности. Атака кликджекинга может, например, внедрить прозрачный элемент поверх кнопки страницы, чтобы пользовательское действие было перехвачено преступником.

Атака BitB расширяет этот метод, создавая полностью поддельное окно браузера, включая сигналы доверия, такие как значок закрытого замка и известный (но поддельный) URL-адрес. Данный метод делает фишинг более эффективным. Жертвам по-прежнему нужно будет посетить скомпрометированный или вредоносный web-сайт, чтобы появилось всплывающее окно, но после этого они с большей вероятностью предоставят мошеннику свои учетные данные.

У этого подхода есть ограничения. Хотя он и позволяет обмануть человека, он вряд ли сможет обмануть другое программное обеспечение. Менеджеры паролей, например, не будут автоматически вводить учетные данные в окно BitB, потому что они не увидят его как настоящее окно браузера.

https://www.securitylab.ru/news/530683.php