Insolita tecnica rubapassword: “Browser in the Browser”



[ZEUS News - www.zeusnews.it - 01-04-2022]

bib

Quando si insegnano le basi della sicurezza informatica e in particolare come difendersi dai ladri di password, una delle regole più importanti, ripetute fino alla noia, è che prima di digitare la propria password bisogna sempre verificare di essere nel sito vero e non in una sua imitazione fabbricata dai truffatori.

Per fare questa verifica in modo facile e usabile anche da persone non esperte, si consiglia di ignorare l'eventuale contenuto grafico della pagina che sta chiedendo le credenziali di accesso e di guardare con attenzione il nome del sito, ossia l'URL (quello indicato in alto nella schermata).

Per esempio, se voglio verificare di essere davvero nella schermata di login di Google e non in quella imitata da un truffatore, dovrò controllare che in alto ci sia scritto accounts.google.com e non pincopallino.com oppure googIe.com.

Come ulteriore verifica, cercherò anche l'icona di un lucchetto chiuso accanto al nome del sito: se non c'è, saprò per certo che mi trovo nel sito di un truffatore e quindi non digiterò la mia password. Se c'è, invece, non mi potrò fidare, perché i truffatori più abili possono fare in modo che il lucchetto chiuso compaia; ma se manca, sarò sicuro di aver evitato un raggiro.

Consigliamo la lettura di:
Come fanno i truffatori a rubare soldi dai conti correnti?
Apple, Google e Microsoft svelano il sistema che eliminerà le password
Consentire i download “insicuri” in Firefox
Perché mi si spegne il monitor senza motivo?

Semplice e pratico, insomma: due piccoli abitudini (guarda il nome, cerca il lucchetto) che si imparano facilmente e diventano automatiche come guardare a sinistra e a destra prima di attraversare la strada.

Ma lascia fare agli informatici: è stata pubblicata da poco una tecnica che sovverte queste regole di sicurezza, perché è in grado di imitare quasi perfettamente sia il nome del sito, sia la presenza del lucchetto.

Questa tecnica si chiama Browser in the Browser, abbreviato in BITB, ed è stata annunciata da un ricercatore di sicurezza che si fa chiamare semplicemente mr.d0x.

Articoli suggeriti:
Allora, i messaggi di WhatsApp sono cifrati e privati o no?
Truffatori scavalcano le difese informatiche nella maniera più semplice
Attacchi informatici usando documenti Office, l'allerta di Microsoft
La bufala dell’app che toglie gli sticker che coprono le foto dei bambini

Funziona così: avete presente quelle finestre di dialogo che compaiono spesso quando si accede la prima volta a un sito? Quelle che per evitarvi di dover creare un account e una password appositamente vi dicono "login con Facebook", "login con Microsoft", "continua con Apple", "collegati usando Google" o cose simili e vi propongono appunto di usare un vostro account esistente per il nuovo sito? Il ricercatore mostra che è estremamente semplice, per un esperto, creare una versione fraudolenta di queste finestre di dialogo e farla apparire sullo schermo della vittima.

Fin qui niente di speciale, ma il trucco di mr.d0x è che aggiunge alla finestra di dialogo un bordo superiore che imita la testata di un browser.

Articoli suggeriti:
Arrivano gli occhiali “smart” di Facebook
Il fenomeno del ban-as-a-service
I cracker pentiti che rinunciano al ransomware
WhatsApp e le foto che si “cancellano” da sole

La vittima, di conseguenza, crede che la finestra di dialogo sia la finestra del browser, e quando va a controllare il nome del sito e la presenza del lucchetto, seguendo le classiche regole di sicurezza, guarda il nome del sito mostrato nella finta testata del browser, che è sotto il controllo del truffatore.

Il ladro di password, infatti, può far comparire in questa testata un nome di sito a suo piacimento, per cui se vuole per esempio rubare una password di un account Google metterà in questa falsa testata accounts.google.com. E per di più potrà anche inserire l'icona del lucchetto, fintamente rassicurante.

Un video pubblicato su YouTube illustra in dettaglio il procedimento necessario per creare un sito rubapassword che usi questa tecnica, con tanto di modelli predefiniti (anche qui) e sito dimostrativo (Getgophish.com). La semplicità di questo metodo è preoccupante, ed è inevitabile che questa tecnica verrà utilizzata dai truffatori e non solo dai ricercatori di sicurezza.

Per approfondire:
Un miliardo di rickroll
La seduttrice informatica assetata di bitcoin
Un’altra chiamata dai truffatori del finto “servizio assistenza Micr...
Stuxnet, il virus informatico più distruttivo della storia

Anzi, è già stata usata almeno una volta, nel 2020, per rubare password del servizio di distribuzione di videogiochi Steam.

A questo punto occorre insomma aggiornare le regole di sicurezza: non basta più controllare il nome del sito e l'eventuale assenza del lucchetto. Gli esperti notano che c'è un modo abbastanza semplice per distinguere un sito fraudolento che usa questa tecnica rubapassword da un sito autentico. Consiste nel provare a spostare la finestra di dialogo: se è vera, sarà possibile spostarla in modo che si sovrapponga alla vera testata del browser; se è falsa, questo spostamento la farà finire sotto la vera testata. Ma l'utente medio si ricorderà di fare ogni volta tutti questi controlli?

Articoli suggeriti:
Ehi Google, come si dice in inglese “salsicce e friarielli”?
Western Digital: ''Ok, panico''
Beyoncé è in realtà italiana e si chiama Ann Marie Lastrassi
Un blackout informatico molto, molto canadese

È improbabile, per cui si consiglia di usare un approccio differente, di prevenzione: attivare l'autenticazione a due fattori su ogni account, usando le istruzioni apposite facilmente reperibili in Google. In questo modo, se si sbaglia e si digita la propria password in un sito che la ruba, i ladri non potranno comunque prendere il controllo dell'account e si dovrà semplicemente cambiare la password.

Come sempre, anche in informatica, prevenire è meglio che curare.

Sullo stesso tema:
Un “pianetino” sta per attraversare il Sistema Solare
Il tentato phishing ai danni di Elodie
Trading online fasullo, illusione completa
Apple rende visibile il tracciamento pubblicitario

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Due morti in Tesla, ''nessuno era al volante''?
Telegram a volte permette di localizzare gli utenti, ma niente panico
Florida, impianto di depurazione delle acque “hackerato”
Aspirapolvere smart e Fortnite paralizzati: colpa di Amazon
Geolocalizzazione e gelosia
Il Wi-Fi come forma di umorismo
Aggiornate WhatsApp: le vecchie versioni si possono violare con un file MP4
Instagram promette nuove funzioni anti-bullismo
Passa la direttiva UE sul copyright. E adesso?

Commenti all'articolo (ultimi 5 di 8)

{utente anonimo}
Altra possibilità è verificare il certificato cliccando sul lucchetto. Il fake non sarà in grado di visualizzare nulla.
10-4-2022 09:38
RECAST
Ho una domanda che spero sia OT. Di tanto in tanto, quasi settimanalmente, mi viene richiesta la pw dell'account email che ho su outlook.it; compare un triangolino giallo con un punto esclamativo e la richiesta di inserire la pw. Non ne comprendo il motivo e, considerato che non ho messaggi particolarmente delicati, eseguo e la email... Leggi tutto
4-4-2022 15:33

Gladiator
Io di solito quando mi devo recare in un sito mai visitato per il quale non ho un URL sicuro al 100 % ricerco l'URL su un motore di ricerca poi verifico il risultato e lo raggiungo da lì. Solo in casi rari e non troppo complessi digito l'URL nella barra.
3-4-2022 13:49

Homer S.
Che però non esauriscono lo "scibile" di Internet. Chi realizza queste frodi sa benissimo che nessuno è materialmente in grado di by-passare ogni possibile URL con il proprio dizionario, meno che mai passando da un telefono. Il Web è un mondo, nel mondo reale ti sarà capitato almeno una volta nella vita di doverti recare ad... Leggi tutto
3-4-2022 08:45
zero
Apposta hanno inventato i PREFERITI
2-4-2022 16:10
Leggi gli altri 3 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Dicono che il software è la parte del computer contro la quale è possibile solo imprecare, l'hardware è quella che si può anche prendere a calci. Quale hai preso a calci più frequentemente?
Case e alimentatore
Scheda madre
Processore o CPU
Schede video e audio
Hard disk
Lettori Cd / Dvd
Monitor
Stampanti e scanner
Tastiera e mouse

Mostra i risultati (1629 voti)
Aprile 2024
n. 3802 del 21-04-2024
TIM, altre ''rimodulazioni'' in arrivo
n. 3801 del 18-04-2024
L'algoritmo di ricarica che raddoppia la vita utile delle batterie
n. 3800 del 12-04-2024
Hype e Banca Sella, disservizi a profusione
n. 3799 del 11-04-2024
Falla nei NAS D-Link, ma la patch non arriverà mai
n. 3798 del 09-04-2024
La navigazione in incognito non è in incognito
n. 3797 del 05-04-2024
Le tre stimmate della posta elettronica
n. 3796 del 03-04-2024
Amazon abbandona i negozi coi cassieri a distanza
Marzo 2024
n. 3795 del 30-03-2024
Buone azioni e serrature ridicole
n. 3794 del 26-03-2024
Il piano Merlyn, ovvero la liquidazione di Tim
n. 3793 del 23-03-2024
Falla nelle serrature elettroniche, milioni di stanze d'hotel a rischio
n. 3792 del 21-03-2024
L'antenato di ChatGPT in un foglio Excel
n. 3791 del 19-03-2024
La valle inquietante
n. 3790 del 15-03-2024
La crisi di Tim e la divisione sindacale
n. 3789 del 12-03-2024
La fine del mondo, virtuale
n. 3788 del 08-03-2024
WhatsApp e Messenger aprono agli altri servizi di chat
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 23 aprile
2023
La UE metterà il naso negli algoritmi dei giganti del web
2022
Bug nell'app Messaggi, e la batteria si scarica in fretta
2021
Windows 10, arriva l'Eco Mode per far tornare scattante il Pc
2020
App Immuni: vogliamo i sorgenti
2019
Windows, si allunga la lista di antivirus che bloccano il Pc
2018
Microsoft inizia a rimuovere le app desktop da Office, partendo da OneNote
2017
"Fotografata" per la prima volta la materia oscura
2015
Nuove tariffe, Agcom chiede più trasparenza a Telecom Italia
2014
Otto trucchi per risparmiare carburante
2013
Informazione nel XXI secolo
2012
Le ultime ore di Luca Napoletone Luciani
2011
Il peperoncino più piccante del mondo
2010
Lan su rete elettrica verso la standardizzazione
2008
Zio Bill e il bollettino OGA fantasma
2007
La posta in cassaforte
2006
iWorld
2005
Il boom del videoblog
2004
I ragazzi di Urbani
2003
Il Wi-Fi si sperimenta gratis
2002
Il gigante alle corde
2001
Adobe Night Lab Experience
Olimpo Informatico


 
web metrics