BitB – Técnica Phishing Avanzada

Categorias: Seguridad

BitB Técnica Phishing Avanzada

Las técnicas de phishing cada vez son más sofisticadas y los ataques BitB son un buen ejemplo de ello.

Como usuarios de Internet, tenemos que estar atentos a posibles intentos de engaño, los cuales, por desgracia, son cada día más frecuentes.

Vamos a explicarte en qué consiste un ataque phishing BitB para que esté atento y no caigas en el engaño.

 

¿Qué es el Phishing BitB?

BitB son las siglas de Browser in the Browser y que podemos traducir como Navegador en el Navegador.

Se trata de una técnica phishing en la que el engaño consiste en crear una falsa ventana de identificación, como si se tratara de una ventana emergente o popup.

La finalidad de esta ventana falsa es confundir al usuario para que introduzca las credenciales de acceso y hacerse con ellas para acceder como si del usuario se tratara.

Una vez dentro del servicio el hacker puede hacer lo que le vengan en gana, como cambiar la contraseña para que no podamos acceder de nuevo y a partir de ahí, conseguir información delicada, como contraseñas, cuentas bancarias, etc…

 

¿Cómo Funciona un Ataque BitB?

Los ataques Browser in the Browser se basan en la opción que muchos servicios ofrecen para poder iniciar la sesión con los datos de acceso de otro servicio, como nuestra cuenta de Google, Facebook, Apple ID, etc…

ejemplo iniciar sesión otra cuenta

Este tipo de servicios es muy popular porque la mayoría de los usuarios ven un incordio el tener que crear una nueva cuenta para cada servicio en el que quieran darse de alta.

Y como la mayoría de ellos ya tiene una cuenta de Google, Facebook, etc… ¿por qué no usarla?

Cuando elegimos esta opción y pulsamos en uno de los botones para usar esos datos de acceso, lo que abre es un popup o ventana emergente que nos lleva al servicio en el que tenemos la cuenta para introducir los datos de acceso.

bitb inicar sesión cuenta google

Aquí es donde se produce el engaño, ya que está todo orquestado para que no se abra la ventana emergente del servicio que tú piensas, si no una imagen en el propio navegador, como si de un popup se tratara, pero en realidad es una imagen más de la web.

Si se consigue llevar a cabo el engaño y el usuario añade los datos de acceso, por ejemplo, su cuenta de Gmail, el hacker sólo tiene que acceder a Gmail con los datos obtenidos en el phishing.

 

¿Cómo Podemos Comprobar que no se trata de un BitB?

Como en cualquier intento de phishing, el sentido común y fijarse en los detalles suele ser la mejor opción para evitar caer en el engaño.

Para identificar un phishing BitB rápidamente tenemos que fijarnos en que la ventana de login sea una ventana realmente

Si no se trata de una ventana y es una imagen que aparenta ser una ventana, es un BitB.

¿Cómo podemos comprobarlo? pues interactuando con la ventana. Tenemos que poder moverla de sitio por la pantalla para sacarla de la ventana principal, minimizarla, cambiar el tamaño o modificar la URL de la nueva ventana.

Si notas que algo no funciona como debería, los más seguro es que se trate de un phishing BitB.

Debes de poder separar por completo la ventana emergente de la principal. Si se queda dentro no se trata de una ventana real y, por lo tanto, no debes introducir los datos.

En esta imagen puedes ver como el popup es real y se comporta como una ventana de un navegador web normal y corriente.

bitb ventana popup real

Puedes cambiar el tamaño, separarla de la ventana principal sin problemas o incluso minimizar cualquier de las dos ventanas sin que le afecte a la otra.

Ten en cuenta que en un engaño BitB, lo que verás será una imagen dentro de una web, pero con aspecto de popup. Como si hicieras una captura de pantalla con las dos ventanas abiertas.

Esta es la forma más sencilla de comprobar si estamos ante un intento de engaño y ante la más mínima duda, no introducir ningún dato.

 

Cómo Protegerse de Ataques Phishing BitB

Para protegerse de cualquier ataque phishing, sea BitB o de cualquier otro tipo, hay que desconfiar de las urgencias, ofertas demasiado buenas o cualquier pequeño error en las ventanas del navegador o faltas de ortografía.

La diferencia entre los ataques phishing más habituales y los BitB, es que en estos últimos no ves un mensaje de urgencia que incita al usuario a actuar sin pensar.

Se basan en lo habitual que resulta para el usuario utilizar la cuenta de un servicio que ya tengamos, para acceder a otro servicio distinto.

Si no ve nada extraño ni fuera de lo normal, es más fácil que el usuario no desconfíe, por ese motivo hay que tener mucho cuidado con los intentos de ataques phishing BitB.

 

Hosting SSD NVMe

  • SSD 12´00 / mes
  • SSD 54´00 / mes
  • SSD 258´00 / mes
  • SSD 5010´00 / mes
  • SSD 7512´00 / mes
  • SSD 12´00/mes
  • SSD 54´00/mes
  • SSD 258´00/mes
  • SSD 5010´00/mes
  • SSD 7512´00/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco dura ultra rapido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Tras evaluación de nuestro equipo de migraciones y nuevas altas de Hosting
    • Cuentas de correo gestionables a través de POP, IMAP y servicio WebmailSegún usoSegún usoSegún usoSegún usoSegún usoSegún uso
    • Todo lo que necesitas para sacar partido a tu Host
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opcion de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Opción de contratación de certificados SSL Wildcard. Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUI
    • Opción de contratación de certificados SSL Extended Validation (EV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUI
    • Opción de contratación de certificados SSL Organization Validation (OV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUI
    • Con nuestra herramienta WebFácil construye tu página web en solo 5 pasos.
    • Con la herramienta de instalación Softaculous tan solo deberás elegir la aplicación deseada y con tan solo un par de clicks y de forma totalmente automatizada tendrás tus herramientas favoritas instaladas en tu Host.
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el Plesk de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control Plesk .
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting y Dominios
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precios para nuevas altas. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.