Browser-in-the-Browser: ecco come funziona la tecnica di phishing per rubare account Steam

Gli account Steam sono diventati il bersaglio preferenziale di una nuova campagna di hacking che fa uso di una particolare tecnica, chiamata Browser-in-the-Browser, per rubare le credenziali di accesso degli utenti. 

E' Group-IB a dare l'allarme, con la pubblicazione di un report in cui evidenzia come tale campagna prenda di mira, in particoalre, gli account di giocatori professionisti con l'obiettivo di vendere successivamente l'accesso a cifre anche di centinaia di migliaia di dollari.

La tecnica Browser-in-the-Browser consiste nella creazione di finestre del browser false all'interno della finestra attiva, per ingannare l'utente portandolo a credere di avere a che fare con una pagina di pop-up di accesso ad un servizio. 

Una pagina web fasulla renderizzata con la tecnica Browser-in-the-Browser

Le vittime vengono contattate tramite messaggi diretti su Steam, con l'invito di entrare a far parte di una squadra per i tornei di titoli blasonati come League of Legends, CounterStrike, Dota 2 o PUBG. All'interno di questi messaggi vengono condivisi dei collegamenti che portano la vittima ad un sito di phishing che mostra quella che sembra essere una realtà dedita alla sponsorizzazione e all'organizzazione di competizioni eSport.

Per prendere parte ad una squadra e partecipare ad una competizione i visitatori dovranno accedere tramite il proprio account Steam: è in questa fase che si consuma l'inganno. La finestra della pagina di accesso non è una finestra reale del browser sovrapposta al sito web, ma una falsa finestra creata all'interno della pagine corrente che rende molto difficile accorgersi che c'è qualcosa che non va.

A questo punto, una volta che la vittima ha inserito le proprie credenziali, appare una nuova finestra che richiede il codice per l'autenticazione a due fattori. Se questa seconda richiesta non va a buon fine, viene visualizzato un messaggio di errore. Al contrario, se l'autenticazione ha esito positivo, la vittima viene portata ad un URL specificato dal server command&control: si tratta di norma di un indirizzo del tutto legittimo allo scopo di minimizzare la possibilità che il malcapitato possa accorgersi della compromissione.

Quando ciò accade, le credenziali di accesso all'account sono già in possesso degli attori di minaccia, che solitamente cercano di prendere controllo il prima possibile dell'account modificando password ed indirizzi e-mail, così da rendere più difficile il recupero dell'account al legittimo proprietario.

E' bene osservare che nei casi di phishing Browser-in-the-Browser l'URL che viene mostrato nella finestra dove si consuma effettivamente l'attacco di phishing è quello legittimo poiché non si tratta di una finestra del browser ma di un rendering in cui gli attori di minaccia possono visualizzare ciò che vogliono. Quindi non solo l'URL, ma anche il lucchetto SSL inducendo così la vittima a credere di operare su un sito legittimo e sicuro.

Esiste un metodo semplice per mettersi al riparo da questa tecnica: essa richiede infatti JavaScript, e impostando nelle preferenze del browser il blocco degli script JS sarebbe possibile impedire la visualizzazione della finestra contraffatta. Tuttavia, però, questa pratica è sconosciuta o semplicemente non messa in atto dalla maggior parte degli utenti perché ha come rovescio della medaglia quello di rendere difficoltosa la navigazione su moltissimi siti web legittimi e popolari.

A questo punto è possibile prestare attenzione ad alcuni elementi per cercare di non cadere nel tranello: anzitutto osservare se la nuova finestra ha una corrispondenza nella taskbar e in secondo luogo provare a muovere la finestra al di fuori dei confini della finestra originale del browser. Anche il tentativo di minimizzare la finestra avrà come effetto, se finta, di chiuderla completamente. Più in generale: dovrebbe suonare un campanello d'allarme nel momento in cui ogni "tradizionale" interazione con la finestra porta ad un esito diverso da quanto normalmente atteso.

In ogni caso rimane valido il consueto suggerimento: prestare estrema attenzione ai messaggi diretti ricevuti su qualsiasi piattaforma di messaggistica, soprattutto se includono link a siti web.