Browser-in-the-browser: entenda como funciona esse novo tipo de phishing

Durante anos, a principal dica para não cair na armadilha de sites falsos na web sempre foi a mesma: observar bem o endereço da página. Embora os criminosos cibernéticos sempre tenham sido altamente “talentosos” em criar réplicas de serviços online ou até mesmo de lojas virtuais para ludibriar internautas desatentos, basta checar a URL na qual você se encontra para identificar algo de errado. O domínio será diferente do original, contendo algumas letras similares (um “i” maiúsculo se parece com um “L” minúsculo) ou tendo sido registrado em outra zona (.net em vez de .com, por exemplo).

Pois saiba que estamos caminhando para um futuro no qual as coisas não serão mais tão simples assim. Um famoso pesquisador independente conhecido simplesmente como “mr.d0x” deixou especialistas do mundo inteiro em alerta ao publicar, em seu blog, um “achado” bastante desesperador: usando algumas técnicas razoavelmente simples, um golpista consegue, de fato, falsificar uma janela pop-up de login social, com direito a URL legítima e tudo mais, fazendo parecer com que você está inserindo suas credenciais em um ambiente seguro. O ataque foi batizado de browser-in-the-browser (BitB).

Tinha uma janela na janela

O nome do golpe, que pode ser traduzido como “navegador-no-navegador”, já explica seu funcionamento: basicamente, o criminoso simula uma janela inteira do seu browser para capturar a sua senha. Antes de prosseguirmos, vale a pena ressaltar o que queremos dizer ao usar o termo “login social” — trata-se daqueles sites e plataformas digitais que lhe permitem se autenticar usando seu perfil de outros serviços e redes sociais, dispensando assim a necessidade de criar outra conta e informar todos os seus dados manualmente. O login social também é popular por ser relativamente seguro.

Acontece que, quando você decide entrar em uma plataforma via login social, o navegador abre uma nova janela (que chamamos de pop-up) responsável por se comunicar com os servidores do serviço/rede social externa e permitir que você insira suas credenciais. Se você olhar a URL deste pop-up, verá o domínio legítimo e saberá que está em um ambiente protegido.

O golpe BitB se aproveita desse fenômeno. O meliante primeiramente atrai a vítima para um site falso qualquer, sem se preocupar com o endereço da página maliciosa em questão. Esta página terá algum incentivo para que o usuário realize login social, e, ao clicar em um dos botões para tal, um pop-up falso será exibido na tela. Ele se parecerá exatamente como uma janela real do seu navegador, contando até mesmo com botões de minimizar/maximizar e o campo de URL com o domínio legítimo do serviço pelo qual você pretende se autenticar. Porém, tudo não passa de uma “ilusão de ótica”.

Prepare-se desde já!

O truque é bastante simples. Qualquer desenvolvedor com o mínimo de domínio sobre HTML5, CSS e JavaScript consegue “desenhar” essa falsa janela dentro da janela legítima do navegador, dando a impressão de que um pop-up foi aberto. Se a vítima cair no golpe e inserir suas credenciais, porém, estas serão automaticamente enviadas para o servidor do cibercriminoso. A única forma de perceber a artimanha é usando o recurso “Inspecionar elemento”, presente em todos os browsers do mercado, e observar o código-fonte do site para perceber que o pop-up é falso — esse, porém, é um mecanismo que, em geral, é usado apenas por usuários mais avançados.

Antes de entrarmos em desespero, é importante frisar que, até o momento, o ataque browser-in-the-browser é conceitual e não foi detectado sendo utilizado amplamente em uma campanha maliciosa. De qualquer forma, é preciso se preparar desde já, pois há altas chances de que, em breve, esse truque se tornará comum. A maneira mais simples de se certificar de que você está realmente visualizando uma janela pop-up verdadeira é tentando movê-la, redimensioná-la, minimizá-la, maximizá-la e até fechá-la. Tente interagir ao máximo com ela, pois há um limite de realismo que os criminosos conseguem obter.

Por fim, também é válido reforçar a importância de acionar a autenticação de dois fatores em todas as redes sociais e contas de serviços online que você utiliza (especialmente se pretende usá-los para login social). Dessa forma, mesmo que o golpista consiga roubar as credenciais, ele não conseguirá usá-las sem o segundo fator de verificação.