derechodelared.com Open in urlscan Pro
192.0.78.135  Public Scan

Form analysis
5 forms found in the DOM

GET https://derechodelared.com/

<form method="get" class="td-search-form" action="https://derechodelared.com/">
  <!-- close button -->
  <div class="td-search-close">
    <a href="#"><i class="td-icon-close-mobile"></i></a>
  </div>
  <div role="search" class="td-search-input">
    <span>Buscar</span>
    <input id="td-header-search-mob" type="text" value="" name="s" autocomplete="off">
  </div>
</form>

---

POST #

<form action="#" method="post">
  <div class="td-login-inputs"><input class="td-login-input" autocomplete="username" type="text" name="login_email" id="login_email" value="" required=""><label for="login_email">tu nombre de usuario</label></div>
  <div class="td-login-inputs"><input class="td-login-input" autocomplete="current-password" type="password" name="login_pass" id="login_pass" value="" required=""><label for="login_pass">tu contraseña</label></div>
  <input type="button" name="login_button" id="login_button" class="wpb_button btn td-login-button" value="Login">
</form>

---

GET https://derechodelared.com/

<form method="get" class="td-search-form" action="https://derechodelared.com/">
  <div role="search" class="td-head-form-search-wrap">
    <input id="td-header-search" type="text" value="" name="s" autocomplete="off"><input class="wpb_button wpb_btn-inverse btn" type="submit" id="td-header-search-top" value="Buscar">
  </div>
</form>

---

POST #

<form action="#" method="post" accept-charset="utf-8" id="subscribe-blog-blog_subscription-6">
  <div id="subscribe-text">
    <p>Introduce tu correo electrónico para suscribirte y recibir un correo con cada entrada que publiquemos.</p>
  </div>
  <div class="jetpack-subscribe-count">
    <p> Únete a otros 29.637 suscriptores </p>
  </div>
  <p id="subscribe-email">
    <label id="jetpack-subscribe-label" class="screen-reader-text" for="subscribe-field-blog_subscription-6"> Dirección de correo electrónico </label>
    <input type="email" name="email" required="required" value="" id="subscribe-field-blog_subscription-6" placeholder="Dirección de correo electrónico">
  </p>
  <p id="subscribe-submit">
    <input type="hidden" name="action" value="subscribe">
    <input type="hidden" name="source" value="https://derechodelared.com/browser-in-the-browser-phishing/">
    <input type="hidden" name="sub-type" value="widget">
    <input type="hidden" name="redirect_fragment" value="subscribe-blog-blog_subscription-6">
    <button type="submit" class="wp-block-button__link" name="jetpack_subscriptions_widget"> Suscribir </button>
  </p>
</form>

---

<form id="jp-carousel-comment-form">
  <label for="jp-carousel-comment-form-comment-field" class="screen-reader-text">Escribe un comentario...</label>
  <textarea name="comment" class="jp-carousel-comment-form-field jp-carousel-comment-form-textarea" id="jp-carousel-comment-form-comment-field" placeholder="Escribe un comentario..."></textarea>
  <div id="jp-carousel-comment-form-submit-and-info-wrapper">
    <div id="jp-carousel-comment-form-commenting-as">
      <fieldset>
        <label for="jp-carousel-comment-form-email-field">Correo electrónico (Obligatorio)</label>
        <input type="text" name="email" class="jp-carousel-comment-form-field jp-carousel-comment-form-text-field" id="jp-carousel-comment-form-email-field">
      </fieldset>
      <fieldset>
        <label for="jp-carousel-comment-form-author-field">Nombre (Obligatorio)</label>
        <input type="text" name="author" class="jp-carousel-comment-form-field jp-carousel-comment-form-text-field" id="jp-carousel-comment-form-author-field">
      </fieldset>
      <fieldset>
        <label for="jp-carousel-comment-form-url-field">Web</label>
        <input type="text" name="url" class="jp-carousel-comment-form-field jp-carousel-comment-form-text-field" id="jp-carousel-comment-form-url-field">
      </fieldset>
    </div>
    <input type="submit" name="submit" class="jp-carousel-comment-form-button" id="jp-carousel-comment-form-button-submit" value="Publicar comentario">
  </div>
</form>

---

Text Content

SU PRIVACIDAD ES IMPORTANTE PARA NOSOTROS

Nosotros y nuestros socios almacenamos o accedemos a información en un
dispositivo, tales como cookies, y procesamos datos personales, tales como
identificadores únicos e información estándar enviada por un dispositivo, para
anuncios y contenido personalizados, medición de anuncios y del contenido e
información sobre el público, así como para desarrollar y mejorar productos.
Con su permiso, nosotros y nuestros socios podemos utilizar datos de
localización geográfica precisa e identificación mediante las características de
dispositivos. Puede hacer clic para otorgarnos su consentimiento a nosotros y a
nuestros socios para que llevemos a cabo el procesamiento previamente descrito.
De forma alternativa, puede acceder a información más detallada y cambiar sus
preferencias antes de otorgar o negar su consentimiento.
Tenga en cuenta que algún procesamiento de sus datos personales puede no
requerir de su consentimiento, pero usted tiene el derecho de rechazar tal
procesamiento. Sus preferencias se aplicarán solo a este sitio web. Puede
cambiar sus preferencias en cualquier momento entrando de nuevo en este sitio
web o visitando nuestra política de privacidad.
MÁS OPCIONESACEPTO


 * Inicio
 * Cyber
   * App
   * Cheat Sheet
   * Herramientas
   * Qué es
   * Recurso
   * Menores
 * Derecho
 * Podcast
 * Equipo
 * Elimíname by DDR.
 * ¡Colabora!
   * Contacto
   * Servicios


Buscar

domingo, abril 17, 2022
Sign in
¡Bienvenido! Ingresa en tu cuenta

tu nombre de usuario
tu contraseña
Forgot your password? Get help
Password recovery
Recupera tu contraseña

tu correo electrónico
Se te ha enviado una contraseña por correo electrónico.
Derecho de la Red
 * Inicio
 * Cyber
   * App
   * Cheat Sheet
   * Herramientas
   * Qué es
   * Recurso
   * Menores
 * Derecho
 * Podcast
 * Equipo
 * Elimíname by DDR.
 * ¡Colabora!
   * Contacto
   * Servicios

Inicio Colaboración Browser in the Browser (BITB), la nueva técnica de phishing
que puede...
 * Colaboración
 * Cyber
 * Recurso


BROWSER IN THE BROWSER (BITB), LA NUEVA TÉCNICA DE PHISHING QUE PUEDE HACERLO
INDETECTABLE.

Por
Alberto Fonte
-
marzo 22, 2022
2584
Facebook

Twitter

Pinterest

WhatsApp

Linkedin

Email

Telegram



EL 15 DE MARZO DE 2022 MR.D0X PUBLICABA EN SU BLOG UNA TÉCNICA QUE HARÁ EL
PHISHING MÁS COMPLICADO DE DETECTAR.

Como bien sabemos, los ataques de ingeniería social están en continua evolución.
Con el fin de hacer que las víctimas caigan en el cebo, los atacantes exprimen
su ingenio en búsqueda de técnicas más eficaces y difíciles de detectar. El 15
de marzo de 2022 se dió a conocer una técnica que da «una vuelta de tuerca» al
phishing «tradicional». Esta técnica la describe en su blog un investigador de
ciberseguridad cuyo A.K.A. es mr.d0x. Aquí dejamos enlace a su cuenta de Twitter
y al artículo en el que describe esta novedosa y poderosa técnica.

Está técnica se denomina Browser in the Browser (BITB), una técnica novedosa de
phishing, donde el atacante buscará explotar el ataque aprovechando las opciones
de inicio de sesión único (SSO) integradas en diferentes sitios web. (Son
aquellas que muestran “Iniciar sesión con Google” “Sign in with Facebook”, …etc)
Estas opción de SSO genera un pop-up para que hagamos login, a través de nuestra
cuenta de un tercero (Google, Facebook,…etc).

En imagen vemos el comportamiento normal que sucede cuando nos queremos loguear
en Canva utilizando Google. Como se puede observar, en la pantalla de Canva, se
ofrece la opción de continuar con diferentes servicios, y al elegir uno se
desplegará una ventana emergente, en la que se procede a autenticarse.

Fuente: https://mrd0x.com/browser-in-the-browser-phishing-attack/

Para realizar el ataque Browser in the Browser, el atacante replicará una
ventana emergente similar (y fraudulenta) a la que sale cuando damos a iniciar
sesión con SSO y de esta forma a partir del pop-up de login ilegítimo, robar las
credenciales. Su apariencia, puede ser exactamente idéntica a un pop-up de login
legítimo (Incluyendo la URL), lo que hace que este ataque sea muy complicado de
detectar. De cierta forma, este ataque es un phishing dentro de otro phishing,
ya que el pop-up ilegítimo saltará tras indicar que queremos loguearnos dentro
de otra página ilegítima proporcionada por el atacante. A “grosso modo”
podríamos decir que este ataque es similar al phishing “tradicional” pero
haciendo login a través de SSO.

Según mrd0x afirma en su artículo, la URL es uno de los aspectos que hace más
creíble un dominio. Es habitual y en muchos casos eficaz, comprobar la URL para
saber si la página en cuestión es la que aparenta ser. Esto fue lo que le llevó
a investigar sobre la búsqueda de una técnica donde la URL sea real
(aparentemente) y una víctima pueda introducir sus credenciales con
tranquilidad, o mejor dicho, falsa tranquilidad.

Con el propósito de realizar la POC, mrd0x, deja unas plantillas en su Github
para que se pueda probar el ataque (¡DISCLAIMER! En entornos de prueba
controlados). Como se puede ver, en el código y en la parte superior del pop-up
tanto el título de la página, como el dominio y su ruta, son variables en las
que se podrán poner unos valores idénticos a los legítimos haciendo que la
víctima tenga una falsa sensación de seguridad e introduzca sus credenciales.


Código HTML para BITB

Desde el HTML, se puede cambiar la URL de forma muy sencilla, y como se puede
ver es posible poner lo que se quiera. Para buscar realismo, simplemente bastará
con visitar alguna página en la que se genere el pop-up legítimo y copiar la URL
para adaptarla.




Si queremos ver la falsa sensación de seguridad que se puede tener al estar
siendo víctimas de este ataque, tenemos la siguiente comparativa. Esta imagen es
una prueba que mrd0x realizó para mostrar que con esta técnica las ventanas
emergentes serán idénticas.

fuente: https://mrd0x.com/browser-in-the-browser-phishing-attack/

Para comprender mejor el funcionamiento de la técnica, en el siguiente video de
Infinite Logins, podemos ver una POC en detalle de como funciona BITB:



Esta técnica hace más complicado de detectar un caso de phishing, y por tanto
hace que aumente su efectividad. Es por ello, que el MFA( Multi factor
authentication) gana importancia tenerlo aplicado. Tener más de un factor de
autenticación salvará los muebles (una vez más).

Y como siempre, en estos ataques de ingeniería social, es muy importante la
concienciación, y el sentido crítico para no caer en la trampa. Precisamente por
aquí viene la que aparentemente sobre el papel es la gran limitación de esta
técnica, y es que para llegar a esta ventana emergente indetectable previamente
tendríamos que haber caído en un link sospechoso de los de siempre, es decir, el
poder de esta técnica se sufriría una vez ya se pique en la trampa del primer
link. Eso sí, no hay que confiarse ya que es una técnica novedosa y en la que
hay que seguir investigando para conocer su comportamiento en diferentes
escenarios.

Concienciación!!

Artículo de mr.d0x «Browser In The Browser (BITB) Attack»: aquí

Twitter de mr.d0x: aquí

¿Encontraste este artículo interesante? Sigue a DDR en Twitter, LinkedIn y
Facebook o suscríbete a nuestro podcast.

Únete a @DerechodelaRed en Telegram
Alberto Fonte

Apasionado de la ciberseguridad en continuo aprendizaje





RELATED

TÉCNICAS DE INGENIERÍA SOCIAL: ASÍ ATACAN AL ESLABÓN MÁS DÉBIL DE LA
CIBERSEGURIDAD

En este presente artículo, profundizaremos más a fondo en las técnicas de
ingeniería social. Aunque la seguridad 100% nunca está garantizada, tener
conocimiento de estás técnicas siempre nos permitirá detectar antes cualquier
evento sospechoso

En «Artículos»

👀 HIDDEN EYE 👀 – LABORATORIO DE PHISHING

En este post se muestra un ejemplo de uso de la herramienta de phishing Hidden
Eye con el objetivo de concienciar a los usuarios.

En «Formacion»

JIGSAW, RECURSO DE GOOGLE PARA ENSEÑARNOS A DETECTAR ATAQUES DE PHISHING.

¿Eres capaz de detectar todos los casos propuestos de phishing?

En «Recurso»

Alberto Fonte

1 COMENTARIO

 1. Browser in the Browser (BITB), la nueva técnica de Phishing que puede
    hacerlo indetectable. – Blog EHCGroup marzo 25, 2022 At 11:11 PM
    
    […] Fuente y redacción: derechodelared.com […]
    
    
    



Comments are closed.

SUSCRÍBETE AL BLOG POR CORREO ELECTRÓNICO

Introduce tu correo electrónico para suscribirte y recibir un correo con cada
entrada que publiquemos.

Únete a otros 29.637 suscriptores

Dirección de correo electrónico

Suscribir

LO MÁS VISTO

 * TrackerControl: monitoriza y controla el seguimiento de las aplicaciones en
   Android.
 * Cómo comprobar enlaces sospechosos sin infectarte.
 * MalScanBot, análisis de malware desde Telegram
 * Hack.me, la web para probar tus habilidades de hacking gratis.
 * ¿Qué es el 'Web Skimming'?

ESTADÍSTICAS DEL BLOG

 * 2.459.008 hits


5,863FansMe gusta

1,730SeguidoresSeguir

300SeguidoresSeguir

23,909SeguidoresSeguir

500suscriptoresSuscribirte
Your Browser Does Not Support iframes!Your Browser Does Not Support iframes!




Medio digital especializado en Ciberseguridad, Privacidad, Derecho de las TIC,
Redes Sociales y mucho más. Desde 2014.
Contáctanos: contacto@derechodelared.com

© Derechodelared 2021.

 

Cargando comentarios...

 

Escribe un comentario...
Correo electrónico (Obligatorio) Nombre (Obligatorio) Web