اقتصادكم-نورالدين البيار
يمكن استغلال تقنية تصيد احتيالي جديدة تسمى المتصفح في المتصفح الأصلي (BitB) لمحاكاة نافذة متصفح داخل المتصفح، من أجل انتحال موقع شرعي، مما يجعل من الممكن شن هجمات تصيد مقنعة.
ونقل موقع أخبار لقراصنة عن الباحث في الأمن المعلوماتي، الذي يستخدم الحسابmrd0x على تويتر، أن هذه الطريقة الجديدة، تستفيد من خيارات تسجيل الدخول الأحادي (SSO) للجهات الخارجية المضمنة في مواقع الويب مثل "تسجيل الدخول باستخدام جوجل" (أو فيسبوك أو آبل أو ميكروسوفت).
وبينما يتم الترحيب بالسلوك الافتراضي عندما يحاول المستخدم تسجيل الدخول عبر هذه الطرق من خلال نافذة منبثقة لإكمال عملية المصادقة، يهدف هجوم BitB إلى تكرار هذه العملية بأكملها باستخدام مزيج من كود HTML وCSS لإنشاء نافذة متصفح ملفقة بالكامل.
متصفح في المتصفح
وقال mrd0x_ في تقرير فني نُشر الأسبوع الماضي: "اجمع بين تصميم النافذة وإطار iframe (دمج صفحة بأخرى لعرض المحتوى بلغة html) الذي يشير إلى الخادم الضار الذي يستضيف صفحة التصيد، ولا يمكن تمييزه أساسًا". كما ’’يمكن استخدام JavaScript بسهولة لجعل النافذة تظهر على رابط أو نقرة على زر ، عند تحميل الصفحة وما إلى ذلك."
في حين أن هذه الطريقة تسهل بشكل كبير شن حملات هندسة اجتماعية فعالة.
فمن الجدير بالذكر أن الضحايا المحتملين يحتاجون إلى إعادة توجيههم إلى مجال التصيد الاحتيالي الذي يمكنه عرض نافذة المصادقة المزيفة هذه لجمع بيانات الاعتماد( اسم المستخدم وكلمة المرور ).
وأوضح mrd0x_ أنه" بمجرد الوصول إلى موقع الويب المملوك للمهاجم، سيكون المستخدم مرتاحًا عندما يكتب بيانات اعتماده بعيدًا على ما يبدو أنه موقع الويب الشرعي (لأن عنوان URL الموثوق به يشير إلى ذلك)"..
وينصح خبراء الأمن السيبراني، لتجنب الوقوع في التصيد الاحتيالي الذي يعد من أخطر طرق القرصنة على الأنترنت، بالتأكد من المواقع الشرعية، وتفعيل نظام الأمان في المتصفح، والانتباه للنوافذ المنبثقة، وعدم النقر على الروابط المشبوهة.
