browser-in-the-browser

ほぼこもセキュリティニュース By Terilogy Worx

browser-in-the-browserアタックという手法があります。
名前の通り、Webブラウザの画面の中に別のブラウザを表示する手法です。
この手法は2022年3月に話題になりましたが、そのbrowser-in-the-browserを使った事例の解説が話題になっています。
こんな感じです。

  • ポップアップウィンドウ
    従来の良くあるフィッシングサイトはフィッシングサイトの内容を表示するブラウザのタブとして表示されます。
    このため落ち着いて真贋を確認しようとするとフィッシングと判別できる場合もあります。
    しかしbrowser-in-the-browserによるフィッシングではポップアップウィンドウが選択されます。

     

  • 本物と同じ内容のアドレスバー
    フィッシング動作する偽ポップアップウィンドウのアドレスバーには本家のサイトのURLが表示されます。
    しかもそれは単なる画像ではなくURLの文字部分を選択してコピーしたりすることまで可能な形式で実装されています。
    このためその本家のURLをコピーペーストしてそのフィッシングのポップアップウィンドウの真偽を確認することに利用できません。

     

  • 鍵マーク
    偽ポップアップウィンドウにはSSLの鍵マークも表示されます。
    正しい証明書で動作していることを示すものとして表示されます。
    しかしその偽ポップアップウィンドウは単に描画されているだけです。
    鍵マークには画像としての価値しかありません。

     

  • ポップアップウィンドウの最小化ボタンと閉じるボタン
    最小化ボタンが使用できますし、閉じるボタンも使えます。
    普通っぽいです。

     

  • ポップアップウィンドウの移動可能範囲
    偽ポップアップウィンドウは本物のポップアップウィンドウと同じくドラッグして移動することもできます。
    ただし移動できる範囲はポップアップウィンドウを出すに至った元のブラウザのウィンドウの範囲内にとどまります。
    通常の本物のポップアップウィンドウであればこういった制限はないのですが、この偽ポップアップウィンドウはJavaScriptで実現されているためこの制限があります。

     

  • ポップアップブロック機能が効かない
    本物のポップアップウィンドウであればそのウィンドウはWindows的に通常のウィンドウなので、利用者がポップアップブロック機能を設定していればブロックされて表示されません。
    しかしこの偽ポップアップウィンドウは見た目はポップアップウィンドウですが実際には単にJavaScriptで表示されたものでWindows的には通常のウィンドウではありません。
    このためこの偽ポップアップウィンドウはポップアップブロック機能ではブロックすることができません。

このように解説されるとなるほどその違いについては理解することができるように思えます。
しかしそのポップアップウィンドウに表示されている内容は実にリアルです。
画面の要素の並びは本家と何ら変わりありませんし、各種アイコンなども本家と全く同じです。
表示されたポップアップウィンドウになにかを入力する前に、ポップアップをタブの範囲を超えてドラッグできるかを毎回必ず確認するなんていうことができるでしょうか。
わたしは自信がありません。

大手のゲーム配信プラットフォームであるSteamのフィッシングが例として解説されています。
二要素認証にも対応した構造になっています。
言語も27種サポートされています。
驚くべき内容です。

このbrowser-in-the-browserを実現することのできるツールは、GitHubで公開されています。
誰でも入手できます。
フィッシングサイトが増えていかないことを願うばかりです。

参考記事(外部リンク):Letting off steam
Hackers use the browser-in-the-browser technique to steal Steam accounts

blog.group-ib.com/steam