La tecnica nota come “Browser-in-the-Browser” permette di creare finte finestre all’interno di quella attiva del vostro browser, facendole apparire come innocue pagine pop-up per riuscire a condurre attacchi mirati. Group-IB ha recentemente pubblicato un rapporto nel quale afferma che alcuni hacker avrebbero utilizzato questo metodo per rubare le credenziali di account Steam, alcuni dei quali anche parecchio importanti (tanto da essere valutati tra i 100.000 e i 300.000 dollari).
Stando a quanto riferito da Group-IB, il kit di phishing per questo attacco viene scambiato privatamente all'interno di canali Discord e Telegram. Alle vittime designate viene inviato un messaggio diretto su Steam, all'interno del quale vengono invitate a unirsi a una squadra per tornei di titoli competitivi molto popolari come LoL, CS, Dota 2 o PUBG e, per accettare, è necessario effettuare il login tramite il proprio account.
Inutile dire che la pagina dove gli utenti vengono invitati a effettuare il login non è altro che una finestra fittizia creata all’interno della pagina corrente (il che la rende molto difficile da individuare come attacco di phishing) e non una vera e propria finestra del browser sovrapposta al sito web esistente. Gli hacker hanno proprio pensato a tutto, in quanto la pagina visualizzata supporta ben 27 lingue, proponendo all'utente quella corretta in base alle preferenze del browser. Una volta inserite le proprie credenziali, verrà richiesto anche il codice 2FA e, se l’autenticazione avrà successo (e, di conseguenza, i malintenzionati avranno già memorizzato i dati), l’utente in questione verrà reindirizzato a un indirizzo legittimo, riducendo al minimo il rischio che la vittima si accorga di qualcosa che non va.
Questa tecnica è piuttosto efficace, in quanto vengono prese tutte le precauzioni atte a fornire all’utente un falsa sicurezza durante l’immissione dei propri dati (viene anche mostrato il lucchetto del certificato SSL per la - finta – connessione HTTPS). Dato che il metodo richiede JavaScript, un modo per proteggersi consiste nel blocco degli script JS ma, sfortunatamente, questo porterebbe anche a problemi con numerosi altri siti.
Come di consueto, vi consigliamo di diffidare di link forniti tramite messaggi diretti su Steam, Discord e altre piattaforme se provenienti da fonti sconosciute.