BitB – Erfassen Sie Anmeldeinformationen mit einem gefälschten Browser-Login – Neueste Hacking-News

Was ist ein Browser im Browser-Angriff?

Was geht, Nerds! Mr.D0x hat noch einen weiteren Angriffsvektor für uns ausgearbeitet. Anfang März wurde ein Artikel veröffentlicht Hier. Es beschreibt einen neuen Phishing-Angriff namens „Browser im Browser“ oder kurz BITB. Hierbei handelt es sich um einen Phishing-Angriff, der mithilfe von HTML und CSS ein gefälschtes Popup-Fenster im Browser erstellt, das eine Anmeldeseite wie Windows, Google usw. fälscht. Nachfolgend finden Sie eine Demo von Mr.D0x, die den Unterschied zwischen einer gefälschten Anmeldung und einer gefälschten Anmeldung zeigt normale Anmeldung.

Sie fragen sich vielleicht, warum dieser Login wichtig ist. Bei den meisten Online-Diensten können Sie sich heutzutage über Apple, Gmail oder Facebook anmelden und Ihre Konten verbinden. Wenn Sie dann diese Option auswählen, wird ein neues Browserfenster mit einer angezeigten Anmeldeseite geöffnet. Wir nennen dies OAuth und Hunderte von Websites verwenden dieses Protokoll, um Benutzern die Erstellung eines neuen Kontos zu ersparen.

Mit BITB fälschen wir diese OAuth-Seite, um Anmeldeinformationen von Benutzern zu erfassen. Dies geschieht alles mit einfachem HTML/CSS-Code und bei korrekter Implementierung kann JavaScript zum Spoofing einer ganzen Website verwendet werden – Mr.d0x verwendete eine gefälschte Canva-Seite als Vorlage für seinen Proof-of-Concept mit einer seiner von ihm erstellten Vorlagen , die auf zu finden ist GitHub.

Wie wird es benutzt?

Hier ist die Sache: Wie bei jeder Phishing-Kampagne erfordert dieser Angriff, dass Ihr Opfer tatsächlich auf der Seite landet und auf den Link klickt. Es gibt verschiedene Möglichkeiten, dieses Ziel zu erreichen. Eine davon besteht darin, eine gefälschte Site zu erstellen, die das OAuth-Protokoll verwendet. Nachdem wir die Site erstellt haben, müssen wir eine Aufklärung auf dem Zielcomputer durchführen. Wir müssen die Betriebssystem- und Browsereinstellungen kennen, um zu wissen, welche Popup-Vorlage wir verwenden müssen. Als nächstes müssen wir nach der Bereitstellung nur noch darauf warten, dass das Opfer auf unserer Seite landet, und es hat die absolute Gewissheit, dass es sich sicher auf einer scheinbar legitimen Website anmeldet.

Lassen Sie es mich für Sie aufschlüsseln. Diese Technik verwendet eine Reihe von HTML- und Cascading Stylesheets, um ein Popup mit der Anmeldung zu erstellen. Es handelt sich jedoch nicht um einen neuen Browser. Mit HTML erstellen wir ein Fenster im Originalbrowser und formatieren es mit CSS aus dem Originalbrowser. Dadurch erhalten wir das Fenster mit den Logos, Eingaben und sogar ein URL-Fenster mit einer gültigen URL, die angezeigt wird, um mehr Vertrauen in unser Ziel zu schaffen.

Wo kann ich BitB-Beispiele herunterladen?

Sie haben die folgenden Chrome-Vorlagen für Windows und Mac erstellt:

Windows – Chrome (Hell- und Dunkelmodus)
Mac OSX – Chrome (Hell- und Dunkelmodus)

Kasse: https://github.com/mrd0x/BITB

Abschluss

Schließlich ist die Browser-in-Browser-Phishing-Technik so einfach zu implementieren und sehr effektiv. Dieser Angriff kann sowohl auf n00bs als auch auf erfahrene Webbenutzer angewendet werden. Denken Sie daran: Wenn Sie das Popup nicht aus dem Browserfenster verschieben können, wissen Sie, dass es sich um einen BitB-Angriff handelt. Mr.d0x hat es wieder getan und seine Vorlagen bekommen 3 von 5 Hasen.

Möchten Sie mehr über ethisches Hacken erfahren?

Wir bieten einen Networking-Hacking-Kurs an, der auf einem ähnlichen Niveau wie OSCP ist. Sie erhalten einen exklusiven Rabatt Hier

Helfen Sie, LHN zu unterstützen, indem Sie ein T-Shirt oder eine Tasse kaufen?

Schauen Sie sich unsere Auswahl an Hier

Kennen Sie ein anderes GitHub-bezogenes Hacking-Tool?

Kontaktieren Sie uns über die Kontakt Formular Wenn Sie möchten, dass wir uns andere ethische Hacking-Tools von GitHub ansehen.

Source link

Loading...