Il cosiddetto attacco browser-in-the-browser o BitB rientra all’interno della categoria generale del phishing, un sistema che consente ai malintenzionati di accedere a dati sensibili, credenziali e altre informazioni personali sfruttando la leva dell’inganno e della mimetizzazione. Nel complesso ecosistema degli attacchi informatici, il phishing è una tecnica sempre più popolare e diffusa. Di per se, il phishing è un tipo di truffa informatica che viene effettuata inviando alla vittima delle e-mail fasulle che simulano, ad esempio, un servizio bancario o un e-commerce e che richiedono l’inserimento di credenziali, password o altri dati sensibili con un pretesto come un disguido tecnico o la necessità di cambiare una password, puntando dunque sull’ansia e sull’urgenza.

Il più delle volte, le mail di phishing sono piuttosto riconoscibili, per via di maldestri tentativi di imitare un’azienda, un’organizzazione o un altro soggetto, resi vani da errori grammatica, ortografia, sintassi, oppure da palesi traduzioni automatiche. Spesso i logo sono poco precisi, o ci sono altre vistose anomalie che gli utenti più smaliziati riconosceranno subito. Tuttavia, il nome stesso, phishing, richiama alla mente il concetto di pesca, più precisamente pesca a strascico: gli hacker “gettano le reti” puntando sui grossi numeri, dato che “statisticamente” ci sarà sempre un utente sprovveduto, distratto o semplicemente non troppo avvezzo all’ambiente informato che finirà con il cascarci.

Nel tempo, però, il phishing si è evoluto, diventando una tecnica sempre più subdola, e ramificandosi in varie tipologie, come lo spear phishing che prevede un attacco molto mirato a una persona o a un’organizzazione specifica, con scopi diversi: oltre al furto di dati e credenziali, infatti, il phishing è spesso la fase iniziale di un attacco ransomware, laddove si utilizzano tecniche di phishing per ottenere le credenziali di accesso a un dato sistema in modo da poterlo poi controllare e infettare con un malware e procedere con la crittografia dei dati e la richiesta di un riscatto.

Una delle nuove tecniche di phishing che si stanno diffondendo negli ultimi tempi, come dicevamo all’inizio, è nota come browser-in-the-browser e prevede la simulazione di una finestra di accesso all’interno di un altro sito web per trarre in inganno l’utente e indurlo a inserire le proprie credenziali, in modo da poterle memorizzare e renderle disponibili ai responsabili dell’attacco. La logica alla base è semplice: dal momento che gli URL sono univoci e non è possibile clonarli (ad esempio, google.com non può essere “clonato” affinché punti a un altro indirizzo), pertanto un malintenzionato può procedere a creare un sito con un URL leggermente diverso, ma facilmente confondibile da un utente distratto, per poi creare all’interno della pagina una “pagina di browser virtuale” perfettamente funzionante che simuli in tutto e per tutto, ad esempio, la finestra di login di Google Accounts. In questo modo, il malcapitato, convinto di stare semplicemente facendo l’accesso a un sito web con le proprie credenziali, si ritroverà vittima di un attacco di phishing di tipo BitB.

In ogni caso, facendo un po’ di attenzione, è facile capire se una finestra sia fasulla: se ridimensionando la finestra principale o riducendola a icona, la finestra d’accesso si ridimensiona a sua volta o “sparisce”, state pur certi che quella è una finestra che va chiusa all’istante. Per evitare di incappare in situazioni del genere (ricordate che tutti possono cedere alla stanchezza o alla distrazione), l’ideale è usare un password manager che registra le credenziali all’interno di un vault protetto e “reagisce” solo agli URL validi memorizzati, o dotarsi di uno dei migliori antivirus in commercio, che offrono quasi sempre degli ottimi strumenti anti-phishing in grado di rilevare anche gli attacchi browser-in-the-browser.