브라우저 인 더 브라우저(BITB) 공격

인터넷을 사용하다 보면 

 

이런식으로 새로운 팝업창이 뜨며 SSO(single sign on) 화면이 나오는 경우가 종종있다

그리고 이 링크 화면을 가짜로 만든 다음 사용자의 ID, Password를 훔쳐가는 피싱공격도 자주 있어

주의하라는 말이 있다

하지만 위 그림처럼 링크를 클릭하기 전 URL을 확인하고

실제 창이 떴을때도 URL을 확인하라고 하는데 이제는 이것을 확인하더라도 주의가 필요하다

<a href="https://gmail.com" onclick="return launchWindow();">Google</a>

function launchWindow(){
    // Launch the fake authentication window
    return false; // This will make sure the href attribute is ignored
}

이런식으로 URL을 속이는 것도 간단하고 실제 클릭했을때는 아무런 창도 뜨지 않고 공격자의 Fake 창이 뜨도록 할 수 있다

실제 코드를 

https://github.com/mrd0x/BITB

GitHub - mrd0x/BITB: Browser In The Browser (BITB) Templates

에서 확인 가능하다

새로 뜬 창은 알고보면 팝업 창이 아니고 브라우져 내 브라우저 형태로 BitB(Browser in the Browser) 공격을 하여

가짜 로그인 창을 띄우고 피싱이 가능하다

구분 방법은

실제 팝업 창은 뒤에 브라우저 영역의 밖으로 끌면 밖으로 나가는 반면

BitB 공격은 뒤 브라우저 영역 밖으로 팝업창이 나가지 않는다...

 

이젠 별 공격 방법이 다 나온다