האקרים משיקים מתקפות פישינג – דיוג חדשות כדי לגנוב שמות משתמשים וסיסמאות באמצעות טכניקת דפדפן בתוך דפדפן. זוהי שיטת התקפה הכוללת יצירת חלונות דפדפן מזויפים בתוך החלון הפעיל, מה שגורם לו להופיע כדף כניסה מוקפץ עבור התחברות הדורשת שם משתמש וסיסמא. במרץ 2022, BleepingComputer היה הראשון לדווח על היכולות של מתקפת דיוג חדשה זו שנוצרה על ידי mr.d0x. באמצעות ערכת דיוג זו יוצרים האקרים טפסי התחברות מזויפים עבור Microsoft, Google ושירותים נוספים.
Group-IB פרסמה דו"ח חדש בנושא, הממחיש כיצד מתקפות דיוג בשיטת דפדפן בדפדפן מכוון לגניבת שמות משתמשים וסיסמאות, כאשר מטרת התקפות הדיוג הללו היא למכור גישה לחשבונות המשתמשים, בעיקר גיימרים. נמצא כי ההאקרים שולחים קישורים לאתר דיוג של מה שנראה כארגון המממן ומארח תחרויות esports. כדי להצטרף לקבוצה ולשחק בתחרות, המבקרים מתבקשים להיכנס באמצעות שם משתמש וסיסמא. עם זאת, חלון דף ההתחברות החדש אינו חלון דפדפן ממשי המוצב מעל האתר הקיים, אלא חלון מזויף שנוצר בתוך הדף הנוכחי, מה שקשה מאוד לזהות אותו כמתקפת דיוג. דפי הנחיתה אף תומכים ב- 27 שפות, מזהים את השפה מהעדפות הדפדפן של הקורבן וטוענים את השפה הנכונה. לאחר שהקורבן מזין את האישורים שלו, טופס חדש יבקש ממנו להזין את קוד 2FA. אם השלב השני לא מצליח, מוצגת הודעת שגיאה. במידה והאימות הצליח, המשתמש מנותב לכתובת URL בדרך כלל לגיטימית, כדי למזער את הסיכוי שהקורבן יזהה את מתקפת הדיוג. בשלב זה, האישורים של הקורבן כבר נגנבו ונשלחו להאקרים. בהתקפות דומות, האקרים חוטפים במהירות את שם המשתמש והסיסמא ומשנים סיסמאות וכתובות דוא"ל כדי להקשות על הקורבנות להחזיר את השליטה על החשבונות שלהם.
כמו כן נמצא כי מספר חשבונות משתמשים נמכרו בשווי של בין $100,000 ל- $300,000. Group-IB גם דיווחה כי ערכת הדיוג המשמשת במתקפות דיוג בשיטת דפדפן בדפדפן אינה זמינה באופן נרחב בפורומי פריצה או בשווקי רשת האינטרנט האפלה. במקום זאת, ערכת דיוג זו נמצא בשימוש באופן פרטי על ידי האקרים המתחברים יחד בערוצי דיסקורד או טלגרם כדי לתאם את ההתקפות שלהם.
בכל מקרי ההתחזות של דפדפן בדפדפן, כתובת האתר בחלון ההתחזות הינה כתובת URL לגיטימית, מכיוון שההאקרים חופשיים להציג כל מה שהם רוצים היות וזה לא חלון דפדפן אמיתי אלא רק רינדור של חלון דפדפן. אותו הדבר חל על סמל נעילת תעודת SSL המציין חיבור HTTPS ויוצר תחושת ביטחון מזויפת עבור הקורבנות. גרוע מכך, ערכת דיוג בשיטת דפדפן בדפדפן מאפשרת למשתמשים לגרור את החלון המזויף, למזער אותו, למקסם אותו ולסגור אותו, מה שמקשה מאוד על הזיהוי כחלון מזויף של דפדפן בדפדפן.
מכיוון שהטכניקה דורשת JavaScript, חסימת סקריפטים של JS בצורה אגרסיבית תמנע את הצגת ההתחברות המזויפת. עם זאת, רוב האנשים לא חוסמים סקריפטים מכיוון שזה שובר את הנראות של אתרים פופולריים רבים. השיטה הטובה ביותר לבדוק אם חלון קופץ הוא אכן אמיתי, היא לנסות ולהעביר אותו מעבר לחלון הדפדפן המקורי. Group-IB פרסמה גם את הדרכים הבאות לזיהוי התקפות דפדפן בדפדפן:
- יש לבדוק אם נפתח חלון חדש בשורת המשימות, בהנחה שמבטלים את האפשרות של קיבוץ תוכנות בשורת המשימות של Windows 10. אם לא קיים חלון חדש בשורת המשימות, אז זה לא חלון אמיתי. למרבה הצער, Windows 11 אינו תומך בביטול קיבוץ בשלב זה.
- יש לנסות לשנות את גודל החלון. אם אין אפשרות לעשות זאת סביר להניח שמדובר בחלון דפדפן מזויף.
- חלונות דפדפן BiTB מזויפים ייסגרו אם ממזערים אותם.
- באופן כללי, יש להיזהר מאד מהודעות ישירות שמתקבלות ב- Discord או בפלטפורמות אחרות הקשורות למשחק ולהימנע ממעקב אחר קישורים שנשלחו על ידי משתמשים בלתי מוכרים.
