VNG Cloud Logo

[Advisory] Lừa đảo bằng tấn công "Trình duyệt trong trình duyệt" (browser in browser)

Khi người dùng chọn đăng nhập bằng SSO mà vẫn có “cửa sổ” yêu cầu nhập lại thông tin password tài khoản thì đã có bất thường.

1. Mô tả: 
[Tóm tắt] Trên giao diện của website lừa đảo, kẻ tấn công cho hiển thị một thành phần giả mạo có giao diện trông rất giống với một cửa sổ ứng dụng bình thường, có hỗ trợ các hành động kéo thả hay thu phóng, làm nạn nhân nhầm tưởng rằng họ đang thao tác với một cửa sổ hợp lệ. Từ đó kẻ tấn công có thể đánh cắp các thông tin, dữ liệu nhạy cảm trong quá trình nạn nhân tương tác với thành phần giả mạo này.

Single Sign-On (SSO) chỉ việc người dùng có thể thực hiện đăng nhập vào nhiều hệ thống chỉ bằng 1 tài khoản duy nhất từ các dịch vụ phổ biến như Google, Facebook, Microsoft, Apple… (ví dụ đăng nhập VNG MySite bằng tài khoản Office). Chức năng này thường mở một cửa sổ mới để người dùng đăng nhập bằng tài khoản SSO. Do cửa sổ này chứa thông tin đăng nhập và dễ làm giả nên nó trở thành một mục tiêu chủ yếu bị nhắm tới.


Như hình dưới, cửa sổ Đăng nhập giả (phần đỏ) nhìn giống với cửa sổ đăng nhập thật nhưng thực tế chỉ là một thành phần được hiển thị trên trang web. Thông tin về tài khoản, mật khẩu của nạn nhân sẽ được gửi về cho kẻ tấn công. Thành phần này có thể tự điều chỉnh để hiển thị phù hợp với giao diện của hệ điều hành, trình duyệt, khiến người dùng càng khó nhận ra sự bất thường.

2. Cách nhận biết 
2.1. Kéo thả cửa sổ 
Do cửa sổ giả mạo này là một thành phần hiển thị trên website nên hiển nhiên không thể bị kéo ra khỏi giao diện trình duyệt.

2.2. Tính năng xem trước nội dung cửa sổ 
Khi rê chuột lên Icon của trình duyệt (và các ứng dụng khác) ở Taskbar, hệ điều hành sẽ hiển thị một cửa sổ nhỏ cho phép xem trước nội dung trang web.

Nếu cửa sổ mới được bật lên thì phần xem trước sẽ hiển thị 2 cửa sổ riêng biệt như sau:

Ở hình trên (mục 2.1), do không có cửa sổ mới bật lên mà chỉ có một “thành phần giống cửa sổ” được hiển thị trên trang web, nên phần xem trước chỉ ghi nhận 1 cửa sổ và hiển thị cả nội dung của phần “cửa sổ” giả mạo.

2.3. Tiện ích mở rộng 
Đã có nhà phát triển tạo ra tiện ích mở rộng trình duyệt cảnh báo loại tấn công này. Mã nguồn và link cài đặt được cung cấp tại đây: https://github.com/odacavo/enhanced-iframe-protection

2.4. [SSO] Tự động chuyển hướng khi đã đăng nhập SSO. 
Khi người dùng chọn đăng nhập bằng SSO, nếu tài khoản SSO (như Facebook, Google, Microsoft…) đã được đăng nhập vào trình duyệt trước đó thì người dùng sẽ được tự động cho phép truy cập vào hệ thống đích mà không cần phải thực hiện đăng nhập lại tài khoản SSO. Nếu vẫn có “cửa sổ” yêu cầu nhập lại thông tin tài khoản thì đã có bất thường, người dùng cần cẩn thận kiểm tra bằng một trong các phương pháp trên.

Để phát hiện và phòng tránh kỹ thuật tấn công này, người dùng nên đăng nhập vào tài khoản SSO trước, sau đó mới đăng nhập vào hệ thống đích bằng phương thức SSO.

3. Tài liệu tham khảo 


https://portswigger.net/daily-swig/browser-in-a-browser-phishing-technique-simulates-pop-ups-to-exploit-users#:~:text=2022%20and%20beyond-,%27Browser%20in%20a%20browser%27%3A%20Phishing%20technique%20simulates,pop%2Dups%20to%20exploit%20users&text=A%20security%20researcher%20has%20demonstrated,to%20spoof%20a%20legitimate%20domain

https://mrd0x.com/browser-in-the-browser-phishing-attack/?no-cache=1

https://github.com/mrd0x/BITB