Insolita tecnica rubapassword: “Browser in the Browser”



[ZEUS News - www.zeusnews.it - 01-04-2022]

bib

Quando si insegnano le basi della sicurezza informatica e in particolare come difendersi dai ladri di password, una delle regole più importanti, ripetute fino alla noia, è che prima di digitare la propria password bisogna sempre verificare di essere nel sito vero e non in una sua imitazione fabbricata dai truffatori.

Per fare questa verifica in modo facile e usabile anche da persone non esperte, si consiglia di ignorare l'eventuale contenuto grafico della pagina che sta chiedendo le credenziali di accesso e di guardare con attenzione il nome del sito, ossia l'URL (quello indicato in alto nella schermata).

Per esempio, se voglio verificare di essere davvero nella schermata di login di Google e non in quella imitata da un truffatore, dovrò controllare che in alto ci sia scritto accounts.google.com e non pincopallino.com oppure googIe.com.

Come ulteriore verifica, cercherò anche l'icona di un lucchetto chiuso accanto al nome del sito: se non c'è, saprò per certo che mi trovo nel sito di un truffatore e quindi non digiterò la mia password. Se c'è, invece, non mi potrò fidare, perché i truffatori più abili possono fare in modo che il lucchetto chiuso compaia; ma se manca, sarò sicuro di aver evitato un raggiro.

Sullo stesso tema:
Come fanno i truffatori a rubare soldi dai conti correnti?
Apple, Google e Microsoft svelano il sistema che eliminerà le password
Consentire i download “insicuri” in Firefox
Perché mi si spegne il monitor senza motivo?

Semplice e pratico, insomma: due piccoli abitudini (guarda il nome, cerca il lucchetto) che si imparano facilmente e diventano automatiche come guardare a sinistra e a destra prima di attraversare la strada.

Ma lascia fare agli informatici: è stata pubblicata da poco una tecnica che sovverte queste regole di sicurezza, perché è in grado di imitare quasi perfettamente sia il nome del sito, sia la presenza del lucchetto.

Questa tecnica si chiama Browser in the Browser, abbreviato in BITB, ed è stata annunciata da un ricercatore di sicurezza che si fa chiamare semplicemente mr.d0x.

Proposte di lettura:
Allora, i messaggi di WhatsApp sono cifrati e privati o no?
Truffatori scavalcano le difese informatiche nella maniera più semplice
Attacchi informatici usando documenti Office, l'allerta di Microsoft
La bufala dell’app che toglie gli sticker che coprono le foto dei bambini

Funziona così: avete presente quelle finestre di dialogo che compaiono spesso quando si accede la prima volta a un sito? Quelle che per evitarvi di dover creare un account e una password appositamente vi dicono "login con Facebook", "login con Microsoft", "continua con Apple", "collegati usando Google" o cose simili e vi propongono appunto di usare un vostro account esistente per il nuovo sito? Il ricercatore mostra che è estremamente semplice, per un esperto, creare una versione fraudolenta di queste finestre di dialogo e farla apparire sullo schermo della vittima.

Fin qui niente di speciale, ma il trucco di mr.d0x è che aggiunge alla finestra di dialogo un bordo superiore che imita la testata di un browser.

Sullo stesso tema:
Arrivano gli occhiali “smart” di Facebook
Il fenomeno del ban-as-a-service
I cracker pentiti che rinunciano al ransomware
WhatsApp e le foto che si “cancellano” da sole

La vittima, di conseguenza, crede che la finestra di dialogo sia la finestra del browser, e quando va a controllare il nome del sito e la presenza del lucchetto, seguendo le classiche regole di sicurezza, guarda il nome del sito mostrato nella finta testata del browser, che è sotto il controllo del truffatore.

Il ladro di password, infatti, può far comparire in questa testata un nome di sito a suo piacimento, per cui se vuole per esempio rubare una password di un account Google metterà in questa falsa testata accounts.google.com. E per di più potrà anche inserire l'icona del lucchetto, fintamente rassicurante.

Un video pubblicato su YouTube illustra in dettaglio il procedimento necessario per creare un sito rubapassword che usi questa tecnica, con tanto di modelli predefiniti (anche qui) e sito dimostrativo (Getgophish.com). La semplicità di questo metodo è preoccupante, ed è inevitabile che questa tecnica verrà utilizzata dai truffatori e non solo dai ricercatori di sicurezza.

Consigliamo la lettura di:
Un miliardo di rickroll
La seduttrice informatica assetata di bitcoin
Un’altra chiamata dai truffatori del finto “servizio assistenza Micr...
Stuxnet, il virus informatico più distruttivo della storia

Anzi, è già stata usata almeno una volta, nel 2020, per rubare password del servizio di distribuzione di videogiochi Steam.

A questo punto occorre insomma aggiornare le regole di sicurezza: non basta più controllare il nome del sito e l'eventuale assenza del lucchetto. Gli esperti notano che c'è un modo abbastanza semplice per distinguere un sito fraudolento che usa questa tecnica rubapassword da un sito autentico. Consiste nel provare a spostare la finestra di dialogo: se è vera, sarà possibile spostarla in modo che si sovrapponga alla vera testata del browser; se è falsa, questo spostamento la farà finire sotto la vera testata. Ma l'utente medio si ricorderà di fare ogni volta tutti questi controlli?

Articoli suggeriti:
Ehi Google, come si dice in inglese “salsicce e friarielli”?
Western Digital: ''Ok, panico''
Beyoncé è in realtà italiana e si chiama Ann Marie Lastrassi
Un blackout informatico molto, molto canadese

È improbabile, per cui si consiglia di usare un approccio differente, di prevenzione: attivare l'autenticazione a due fattori su ogni account, usando le istruzioni apposite facilmente reperibili in Google. In questo modo, se si sbaglia e si digita la propria password in un sito che la ruba, i ladri non potranno comunque prendere il controllo dell'account e si dovrà semplicemente cambiare la password.

Come sempre, anche in informatica, prevenire è meglio che curare.

Consigliamo la lettura di:
Un “pianetino” sta per attraversare il Sistema Solare
Il tentato phishing ai danni di Elodie
Trading online fasullo, illusione completa
Apple rende visibile il tracciamento pubblicitario

Articoli suggeriti:
Due morti in Tesla, ''nessuno era al volante''?
Telegram a volte permette di localizzare gli utenti, ma niente panico
Florida, impianto di depurazione delle acque “hackerato”
Aspirapolvere smart e Fortnite paralizzati: colpa di Amazon

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Due morti in Tesla, ''nessuno era al volante''?
Telegram a volte permette di localizzare gli utenti, ma niente panico
Florida, impianto di depurazione delle acque “hackerato”
Aspirapolvere smart e Fortnite paralizzati: colpa di Amazon
Geolocalizzazione e gelosia
Il Wi-Fi come forma di umorismo
Aggiornate WhatsApp: le vecchie versioni si possono violare con un file MP4
Instagram promette nuove funzioni anti-bullismo
Passa la direttiva UE sul copyright. E adesso?

Commenti all'articolo (ultimi 5 di 8)

{utente anonimo}
Altra possibilità è verificare il certificato cliccando sul lucchetto. Il fake non sarà in grado di visualizzare nulla.
10-4-2022 09:38
RECAST
Ho una domanda che spero sia OT. Di tanto in tanto, quasi settimanalmente, mi viene richiesta la pw dell'account email che ho su outlook.it; compare un triangolino giallo con un punto esclamativo e la richiesta di inserire la pw. Non ne comprendo il motivo e, considerato che non ho messaggi particolarmente delicati, eseguo e la email... Leggi tutto
4-4-2022 15:33

Gladiator
Io di solito quando mi devo recare in un sito mai visitato per il quale non ho un URL sicuro al 100 % ricerco l'URL su un motore di ricerca poi verifico il risultato e lo raggiungo da lì. Solo in casi rari e non troppo complessi digito l'URL nella barra.
3-4-2022 13:49

Homer S.
Che però non esauriscono lo "scibile" di Internet. Chi realizza queste frodi sa benissimo che nessuno è materialmente in grado di by-passare ogni possibile URL con il proprio dizionario, meno che mai passando da un telefono. Il Web è un mondo, nel mondo reale ti sarà capitato almeno una volta nella vita di doverti recare ad... Leggi tutto
3-4-2022 08:45
zero
Apposta hanno inventato i PREFERITI
2-4-2022 16:10
Leggi gli altri 3 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Science ha pubblicato una classifica di 10 grandi scoperte avvenute nel 2011. Quale ritieni che sia la più significativa?
Nuovi metodi per la lotta all'AIDS. I trattamenti somministrati alle persone infette da HIV riducono il tasso di trasmissione: si potranno elaborare nuove strategie.
L'origine delle meteoriti. La missione giapponese Hayabusa ha scoperto che le meteoriti che più comunemente cadono sulla Terra provengono da un unico gruppo di asteroidi.
Luce sull'origine dell'uomo. Molte persone hanno ancora tracce di DNA arcaico, frutto di incroci avvenuti nella preistoria.
I meccanismi della fotosintesi. Scienziati giapponesi hanno scoperto la proteina usata dalle piante per separare acqua e ossigeno. Potrebbe aprire la strada per produrre energia pulita.
Gas primordiale. Sono state scoperte delle nubi di gas primordiale, rimaste nelle condizioni in cui si trovavano poco dopo il Big Bang.
Microbioma. I microbi che abitano nel nostro corpo non sono casuali ma appartengono a tre enterotipi, uno dei quali dominante. Conoscerli può aiutare a elaborare strategie personalizzate contro le malattie.
Vaccino contro la malaria. La sperimentazione ha fornito i primi risultati promettenti dopo anni infruttuosi.
Esopianeti. Le scoperte di Kepler hanno scovato dei "fratelli" della Terra che li costringeranno a rivedere le teorie sulla formazione dei pianeti.
Zeoliti sempre più efficienti ed economiche. Le zeoliti sintetiche sono minerali usati come "setacci molecolari" per ottenere la benzina dal petrolio, per purificare l'acqua o l'aria.
Prevenire l'invecchiamento. Eliminare le celle più vecchie, non più in grado di dividersi, si è rivelato un buon metodo per mantenerci sani più a lungo.

Mostra i risultati (5368 voti)
Gennaio 2026
n. 4048 del 09-01-2026
Wi‑Fi 8 al CES26. La nuova generazione è già qui, obiettivo efficienza e stabilità
n. 4047 del 08-01-2026
HP EliteBoard G1a, un intero PC Windows 11 dentro una tastiera ultrasottile
n. 4046 del 05-01-2026
IPv6 compie 30 anni: progressi e ritardi. Perché il mondo resta ancora con IPv4?
n. 4045 del 02-01-2026
POS collegato alla cassa: dal 2026 parte la stretta anti-evasione con controlli automatici
Dicembre 2025
n. 4044 del 31-12-2025
Dopo ChatGPT
n. 4043 del 29-12-2025
Windows 11, prestazioni degli SSD migliorabili fino all'80%. Ecco come attivare il driver
n. 4042 del 24-12-2025
PagoPA lascia il MEF: Poste e Poligrafico rilevano la società per mezzo miliardo
n. 4041 del 22-12-2025
IA al comando di un distributore automatico: snack gratis e centinaia di dollari in perdita
n. 4040 del 19-12-2025
Ordina RAM DDR 5 su Amazon, riceve DDR 2: ecco come funziona la truffa del reso
n. 4039 del 17-12-2025
Televisori LG, dopo l'aggiornamento compare l'app di Copilot. E non si può più togliere
n. 4038 del 16-12-2025
Google lancia la traduzione simultanea universale: bastano qualsiasi telefono Android e auricolari
n. 4037 del 15-12-2025
Tassa da 2 euro sui pacchi fino a 150 euro: la Manovra 2026 coinvolge milioni di spedizioni
n. 4036 del 12-12-2025
Lo script open source che fa sparire Copilot, Recall e gli altri componenti IA da Windows 11
n. 4035 del 09-12-2025
Google Antigravity cancella un intero drive: la IA si scusa, ma i dati sono persi
n. 4034 del 05-12-2025
Migliaia di aerei A320 a terra. Perché è una buona notizia
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 9 gennaio
2026
ChatGPT Salute, lo spazio sicuro per dati sanitari e referti digitali. Ecco come...
2025
L'Unione Europea multa sé stessa
2024
Grandi pulizie in Windows 11: eliminati WordPad e Registrazione Passaggi
2023
CES 2023, Lenovo presenta il ThinkPhone
2022
La disintossicazione dallo streaming
2020
Antibufala: la settimana lavorativa di quattro giorni della Finlandia
2019
Il primo computer quantistico progettato per applicazioni commerciali
2018
I trend tecnologici del 2018: dal cloud all'architettura three-tier
2017
Il primo smartphone Android targato Nokia
2016
Il complotto contro le auto elettriche è definitivamente morto
2015
Nasa, scoperti otto nuovi fratelli della Terra
2014
La lavatrice per i cani
2013
A gennaio Mega, Megabox più avanti
2012
Svezia, il file sharing è una religione ufficiale
2011
Windows Phone 7 avrà il copia incolla
2010
Il meglio del forum "VoIP"
2009
Curse of Silence, e il telefonino non squilla più
2008
Editare le immagini? Si fa sul web (2)
2007
Il marketing di Telecom Italia non ha funzionato
2006
L'assicurazione che non esiste
2005
Scarichiamoli!
2004
Fotografia digitale: istruzioni per l'uso
2003
Fuori dal coro
2002
Libri: La svolta digitale
Olimpo Informatico


 
web metrics