BitB – Técnica Phishing Avanzada

Las técnicas de phishing cada vez son más sofisticadas y los ataques BitB son un buen ejemplo de ello.

Como usuarios de Internet, tenemos que estar atentos a posibles intentos de engaño, los cuales, por desgracia, son cada día más frecuentes.

Vamos a explicarte en qué consiste un ataque phishing BitB para que esté atento y no caigas en el engaño.

¿Qué es el Phishing BitB?

BitB son las siglas de Browser in the Browser y que podemos traducir como Navegador en el Navegador.

Se trata de una técnica phishing en la que el engaño consiste en crear una falsa ventana de identificación, como si se tratara de una ventana emergente o popup.

La finalidad de esta ventana falsa es confundir al usuario para que introduzca las credenciales de acceso y hacerse con ellas para acceder como si del usuario se tratara.

Una vez dentro del servicio el hacker puede hacer lo que le vengan en gana, como cambiar la contraseña para que no podamos acceder de nuevo y a partir de ahí, conseguir información delicada, como contraseñas, cuentas bancarias, etc…

¿Cómo Funciona un Ataque BitB?

Los ataques Browser in the Browser se basan en la opción que muchos servicios ofrecen para poder iniciar la sesión con los datos de acceso de otro servicio, como nuestra cuenta de Google, Facebook, Apple ID, etc…

Este tipo de servicios es muy popular porque la mayoría de los usuarios ven un incordio el tener que crear una nueva cuenta para cada servicio en el que quieran darse de alta.

Y como la mayoría de ellos ya tiene una cuenta de Google, Facebook, etc… ¿por qué no usarla?

Cuando elegimos esta opción y pulsamos en uno de los botones para usar esos datos de acceso, lo que abre es un popup o ventana emergente que nos lleva al servicio en el que tenemos la cuenta para introducir los datos de acceso.

Aquí es donde se produce el engaño, ya que está todo orquestado para que no se abra la ventana emergente del servicio que tú piensas, si no una imagen en el propio navegador, como si de un popup se tratara, pero en realidad es una imagen más de la web.

Si se consigue llevar a cabo el engaño y el usuario añade los datos de acceso, por ejemplo, su cuenta de Gmail, el hacker sólo tiene que acceder a Gmail con los datos obtenidos en el phishing.

¿Cómo Podemos Comprobar que no se trata de un BitB?

Como en cualquier intento de phishing, el sentido común y fijarse en los detalles suele ser la mejor opción para evitar caer en el engaño.

Para identificar un phishing BitB rápidamente tenemos que fijarnos en que la ventana de login sea una ventana realmente

Si no se trata de una ventana y es una imagen que aparenta ser una ventana, es un BitB.

¿Cómo podemos comprobarlo? pues interactuando con la ventana. Tenemos que poder moverla de sitio por la pantalla para sacarla de la ventana principal, minimizarla, cambiar el tamaño o modificar la URL de la nueva ventana.

Si notas que algo no funciona como debería, los más seguro es que se trate de un phishing BitB.

Debes de poder separar por completo la ventana emergente de la principal. Si se queda dentro no se trata de una ventana real y, por lo tanto, no debes introducir los datos.

En esta imagen puedes ver como el popup es real y se comporta como una ventana de un navegador web normal y corriente.

Puedes cambiar el tamaño, separarla de la ventana principal sin problemas o incluso minimizar cualquier de las dos ventanas sin que le afecte a la otra.

Ten en cuenta que en un engaño BitB, lo que verás será una imagen dentro de una web, pero con aspecto de popup. Como si hicieras una captura de pantalla con las dos ventanas abiertas.

Esta es la forma más sencilla de comprobar si estamos ante un intento de engaño y ante la más mínima duda, no introducir ningún dato.

Cómo Protegerse de Ataques Phishing BitB

Para protegerse de cualquier ataque phishing, sea BitB o de cualquier otro tipo, hay que desconfiar de las urgencias, ofertas demasiado buenas o cualquier pequeño error en las ventanas del navegador o faltas de ortografía.

• Verifica la URL
  Es el pilar fundamental para evitar cualquier phishing. La URL de navegador debe de ser correcta. No vale un dominio parecido, tiene que ser el correcto. Si no reconoces el dominio o ves algo raro, desconfía.
• Utiliza la verificación en dos pasos (2FA)
  Verificar el acceso con un código desde otro dispositivo, como nuestro teléfono móvil, evitará la todo intento de phishing, ya que atacante también debería tener acceso a nuestro teléfono. Para muchos es un incordio, pero es la mejor seguridad para cualquier tipo de cuenta.
• Utiliza un gestor de contraseñas
  Los gestores de contraseña verificas las URLs donde añaden los datos de acceso antes de hacerlo. Es una capa de seguridad muy buena, pero tienes que usar un gestor de contraseñas. Aquí tienes algunas opciones.

La diferencia entre los ataques phishing más habituales y los BitB, es que en estos últimos no ves un mensaje de urgencia que incita al usuario a actuar sin pensar.

Se basan en lo habitual que resulta para el usuario utilizar la cuenta de un servicio que ya tengamos, para acceder a otro servicio distinto.

Si no ve nada extraño ni fuera de lo normal, es más fácil que el usuario no desconfíe, por ese motivo hay que tener mucho cuidado con los intentos de ataques phishing BitB.

Hosting SSD NVMe