新浏览器中的浏览器（BITB）攻击使网络钓鱼几乎无法检测

可以利用一种称为浏览器中的浏览器（BitB）攻击的新型网络钓鱼技术，在浏览器中模拟浏览器窗口，以欺骗合法域，从而使实施令人信服的网络钓鱼攻击成为可能。

根据渗透测试人员和安全研究人员的说法，这种方法利用了嵌入在网站上的第三方单点登录（SSO）选项，比如“使用谷歌（或Facebook、苹果或微软）登录”。

当用户试图通过这些方法登录时，默认行为是通过弹出窗口来完成身份验证过程，而BitB攻击的目的是使用HTML和CSS代码的混合来复制整个过程，从而创建一个完全伪造的浏览器窗口。

mrd0x在上周发布的一篇技术文章中说：“将窗口设计与指向承载网络钓鱼页面的恶意服务器的iframe结合起来，基本上无法区分。”。“可以轻松使用JavaScript使窗口显示在链接或按钮单击、页面加载等位置。”

有趣的是，这种技术以前至少在野外被滥用过一次。2020年2月，Zscaler披露了一项活动的细节，该活动利用BitB伎俩，通过假反恐：全球攻势（CS:GO）网站窃取视频游戏数字发行服务Steam的凭据。

Zscaler的研究人员Prakar Shrotriya当时说：“通常情况下，用户检测钓鱼网站所采取的措施包括检查URL是否合法，网站是否使用HTTPS，以及域中是否存在任何同形异义词等。”。

“在这种情况下，一切看起来都很好，因为域是streamcommunity[。]com，它是合法的，并且正在使用HTTPS。但是，当我们试图从当前使用的窗口拖动此提示时，它会消失在窗口边缘之外，因为它不是合法的浏览器弹出窗口，而是在当前窗口中使用HTML创建的。"

虽然这种方法大大简化了有效的社会工程活动，但值得注意的是，潜在的受害者需要被重定向到一个钓鱼域名，该域名可以显示这样一个虚假的身份验证窗口来获取凭据。

mrd0x补充道：“但一旦登录到攻击者拥有的网站上，用户在看似合法的网站上键入自己的凭据时就会感到轻松（因为可信的URL上有这样的说明）。”。