Uma nova técnica de phishing chamada browser-in-the-browser (BITB) pode ser explorada para simular uma janela de navegador a fim de falsificar um domínio legítimo, tornando possível realizar ataques de phishing muito convincentes.
De acordo com o testador de penetração e pesquisador de segurança, que atende pelo handle ‘mrd0x’ no Twitter, o método aproveita opções de login único (SSO) de terceiros incorporados em sites como "Faça login com o Google" (ou Facebook, Apple ou Microsoft).
Embora este método torne significativamente mais fácil a montagem de campanhas eficazes de engenharia social, vale a pena notar que as vítimas em potencial precisam ser redirecionadas para um domínio de phishing que pode exibir uma janela de autenticação falsa para a coleta de credenciais.
Precisa de treinar e capacitar seu time em segurança da informação e engenharia social? Podemos ajudá-lo! Entre em contato conosco.
Matéria completa em: https://thehackernews.com/2022/03/new-browser-in-browser-bitb-attack.html