Diabelsko sprytny phishing używany przez białoruską grupę APT, która ma w zwyczaju atakowanie również polskich użytkowników… uważajcie!

Bez zbędnej teorii zobaczcie na ten zrzut:

To pod jakim adresem my jesteśmy…? No raczej nie pod passport.i[.]ua, chociaż tak może się wydawać mniej doświadczonemu internaucie…

W każdym razie Google ostrzega przed techniką „browser in the browser”, którą zaadoptowała białoruska grupa Ghostwriter (to ta od e-maili Michała Dworczyka).

Na czym polega istota ataku, znanego już od dłuższego czasu? Ano na tym, że dodatkowe okno, które widzicie w środku zrzutu powyżej (z adresem passport.i[.]ua) jest całkowicie sztucznie wygenerowane w przeglądarce (na phishingowej stronie). Przy okazji na przykładzie powyżej widać, że użyta jest przeglądarka w systemie MacOS, a niby „nowe okno” ma interface z Windowsa. Coś tu nie gra.

Jak wykryć taki atak? Jeśli spróbujecie przesunąć fałszywe okno logowania poza przeglądarkę – nie będzie w stanie „wyjść” poza przeglądarkę. Najprawdopodobniej widoczny też będzie cały czas (w oryginalnym oknie) pasek URL phishingowej strony, na którą weszliście.

Więcej tego typu problemów / zagrożeń omawiamy w ramach naszych szkoleń cyberawareness.

~Michał Sajdak