Cerca nel blog

2022/03/24

Insolita tecnica rubapassword: il BITB o “Browser in the Browser”

Quando si insegnano le basi della sicurezza informatica e in particolare come difendersi dai ladri di password, una delle regole più importanti, ripetute fino alla noia, è che prima di digitare la propria password bisogna sempre verificare di essere nel sito vero e non in una sua imitazione fabbricata dai truffatori.

Per fare questa verifica in modo facile e usabile anche da persone non esperte, si consiglia di ignorare l’eventuale contenuto grafico della pagina che sta chiedendo le credenziali di accesso e di guardare con attenzione il nome del sito, ossia l’URL (quello indicato in alto nella schermata).

Per esempio, se voglio verificare di essere davvero nella schermata di login di Google e non in quella imitata da un truffatore, dovrò controllare che in alto ci sia scritto accounts.google.com e non pincopallino.com oppure googIe.com.

Come ulteriore verifica, cercherò anche l’icona di un lucchetto chiuso accanto al nome del sito: se non c’è, saprò per certo che mi trovo nel sito di un truffatore e quindi non digiterò la mia password. Se c’è, invece, non mi potrò fidare, perché i truffatori più abili possono fare in modo che il lucchetto chiuso compaia; ma se manca, sarò sicuro di aver evitato un raggiro.

Semplice e pratico, insomma: due piccoli abitudini (guarda il nome, cerca il lucchetto) che si imparano facilmente e diventano automatiche come guardare a sinistra e a destra prima di attraversare la strada.

Ma lascia fare agli informatici: è stata pubblicata da poco una tecnica che sovverte queste regole di sicurezza, perché è in grado di imitare quasi perfettamente sia il nome del sito, sia la presenza del lucchetto.

Questa tecnica si chiama Browser in the Browser, abbreviato in BITB, ed è stata annunciata da un ricercatore di sicurezza che si fa chiamare semplicemente mr.d0x.

Funziona così: avete presente quelle finestre di dialogo che compaiono spesso quando si accede la prima volta a un sito? Quelle che per evitarvi di dover creare un account e una password appositamente vi dicono “login con Facebook”, “login con Microsoft”, “continua con Apple”, “collegati usando Google” o cose simili e vi propongono appunto di usare un vostro account esistente per il nuovo sito? Il ricercatore mostra che è estremamente semplice, per un esperto, creare una versione fraudolenta di queste finestre di dialogo e farla apparire sullo schermo della vittima.

Fin qui niente di speciale, ma il trucco di mr.d0x è che aggiunge alla finestra di dialogo un bordo superiore che imita la testata di un browser.

La vittima, di conseguenza, crede che la finestra di dialogo sia la finestra del browser, e quando va a controllare il nome del sito e la presenza del lucchetto, seguendo le classiche regole di sicurezza, guarda il nome del sito mostrato nella finta testata del browser, che è sotto il controllo del truffatore.

Il ladro di password, infatti, può far comparire in questa testata un nome di sito a suo piacimento, per cui se vuole per esempio rubare una password di un account Google metterà in questa falsa testata accounts.google.com. E per di più potrà anche inserire l’icona del lucchetto, fintamente rassicurante.

Un video pubblicato su YouTube illustra in dettaglio il procedimento necessario per creare un sito rubapassword che usi questa tecnica, con tanto di modelli predefiniti (anche qui) e sito dimostrativo (Getgophish.com). La semplicità di questo metodo è preoccupante, ed è inevitabile che questa tecnica verrà utilizzata dai truffatori e non solo dai ricercatori di sicurezza.

Anzi, è già stata usata almeno una volta, nel 2020, per rubare password del servizio di distribuzione di videogiochi Steam.

A questo punto occorre insomma aggiornare le regole di sicurezza: non basta più controllare il nome del sito e l’eventuale assenza del lucchetto. Gli esperti notano che c’è un modo abbastanza semplice per distinguere un sito fraudolento che usa questa tecnica rubapassword da un sito autentico. Consiste nel provare a spostare la finestra di dialogo: se è vera, sarà possibile spostarla in modo che si sovrapponga alla vera testata del browser; se è falsa, questo spostamento la farà finire sotto la vera testata. Ma l’utente medio si ricorderà di fare ogni volta tutti questi controlli?

È improbabile, per cui si consiglia di usare un approccio differente, di prevenzione: attivare l’autenticazione a due fattori su ogni account, usando le istruzioni apposite facilmente reperibili in Google. In questo modo, se si sbaglia e si digita la propria password in un sito che la ruba, i ladri non potranno comunque prendere il controllo dell’account e si dovrà semplicemente cambiare la password.

Come sempre, anche in informatica, prevenire è meglio che curare.

Nessun commento: