Na internetové prohlížeče útočí nová hrozba. Můžete přijít o svá hesla i data

Phishingový útok Browser In The Browser, známý také jako „BITB“, je jednou z hrozeb moderního internetu, o které ne každý dosud slyšel. Jedná se o phishing simulující činnost webového prohlížeče přímo v jeho okně. Vysvětlíme vám, jak útočí a jak se bránit.

Browser In The Browser (BITB) je anglický název útoku, který doslova znamená „prohlížeč v prohlížeči“. Jde o simulaci nového okna webového prohlížeče, které vyžaduje, aby uživatel zadal přihlašovací jméno, heslo nebo jiné údaje, aby mohl pokračovat v určitém procesu. Ve skutečnosti se jedná o vytvořenou stránku a „nové okno prohlížeče“ je pouze její grafickou simulací. Je možné přehlédnout, že formulář není pravý, a vystavit se tak značným potížím.

Browser In The Browser (BITB) je zdánlivé nové okno prohlížeče s falešným přihlašovacím panelem. Okno se zobrazuje na stránce, kterou právě navštěvujete, a je snadné ho přehlédnout, protože je obvykle téměř totožné s tím skutečným. Stačí chvilka nepozornosti, abyste zadali přihlašovací údaje do falešného panelu a předali je tak hackerům. Na rozdíl od falešných e-mailů se škodlivými odkazy může technika BITB oběti ještě více ukolébat.

Pokus o podvodný útok BITB lze poměrně snadno odhalit, ale je třeba být ostražitý. Jedním ze způsobů, jak toho dosáhnout, je zkusit přetáhnout „nové okno“ za okraj spuštěného okna prohlížeče. Pokud to není možné, jedná se o útok BITB a přetahovaný prvek ve skutečnosti není nové okno, ale jeho grafická simulace na webové stránce.

Pokud uživatel používá správce hesel, je nepravděpodobné, že by správce hesel dokázal vyplnit pole v simulovaném okně.

Hackeři dobře vědí, že nejslabším prvkem zabezpečení IT systémů ve firmách je člověk. Proto kyberzločinci používají k podvodům s daty řadu manipulačních technik, které se často zaměřují na řadové zaměstnance organizace. Důležitým prvkem školení o bezpečnosti IT je provádění simulovaných kybernetických útoků pomocí manipulativních technik, tzv. sociálního inženýrství. Zaměstnanci se tak mohou na vlastních příkladech nebo na příkladech kolegů naučit, jak správně reagovat na jednání kyberzločinců.

Zdroj: redakce, NUKIB