Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Browser In The Browserの紹介

shunaroo
April 05, 2022
Technology
0
100

Browser In The Browserの紹介

最近、フィッシング攻撃の一つとして、Browser In The Browserと呼ばれる新しい攻撃手法が提案されました。特徴は、URLバーを確認すれば、偽サイトを判別できるという対策を欺くために、ブラウザ内にブラウザのような描画をすることです。対策としては、あくまでブラウザ内で描画しているので、ブラウザ外にでることができるかを確認することが有効です。

shunaroo

April 05, 2022
Tweet

More Decks by shunaroo

See All by shunaroo
Webキャッシュポイズニング
shunaroo
0
440

Other Decks in Technology

See All in Technology
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
660
プロダクト活用度で見えた真実 ホリゾンタルSaaSでの顧客解像度の高め方
tadaken3
0
180
20241120_JAWS_東京_ランチタイムLT#17_AWS認定全冠の先へ
tsumita
2
300
The Role of Developer Relations in AI Product Success.
giftojabu1
0
140
強いチームと開発生産性
onk
PRO
35
11k
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
アジャイルチームがらしさを発揮するための目標づくり / Making the goal and enabling the team
kakehashi
3
140
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
TypeScript、上達の瞬間
sadnessojisan
46
13k
Introduction to Works of ML Engineer in LY Corporation
lycorp_recruit_jp
0
140

Featured

See All Featured
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Faster Mobile Websites
deanohume
305
30k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
100
What's in a price? How to price your products and services
michaelherold
243
12k
Producing Creativity
orderedlist
PRO
341
39k
A better future with KSS
kneath
238
17k
Teambox: Starting and Learning
jrom
133
8.8k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Six Lessons from altMBA
skipperchong
27
3.5k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k

Transcript

  1. Browser In The Browser ~URLバーを再現する新しいフィッシング攻撃手法~ @shunaroo

  2. 自己紹介 @shunaroo ▪ 経歴 (重複あり) ▪ Webアプリ開発 5~6年 ▪ Web/NW脆弱性診断

    3~4年 ▪ コンサルもどき 1~2年 ▪ 趣味 ▪ 犬を愛でる ▪ ゴルフ

  3. Browser In The Browserとは? ▪ 本物そっくりの偽サイトで、ユーザをだます手法「フィッシング攻撃」の一つとして最近?提唱されました 被害者 偽サイト 悪い人 本物と勘違いして

    重要な情報を入力 悪い人に情報が 漏洩してしまう フィッシングの例

  4. Browser In The Browserとは? ▪ フィッシングサイトの判別方法の1つは、「URLバーをよく見る」 偽物の場合は、URLが誤っている 例: ・twiter.com(tがない) ・twltter.com(iじゃなくl)

    など

  5. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 最近は、別サイトのアカウントで認証することが増えている サイトA Google,

    MS, Facebook, etc.. サイトB サイトAのアカウントを 使ってサイトBにログイン

  6. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 別サイトのアカウントを使ってログインする際は、小ウィンドウが表示される https://サイトB https://サイトA

    サイトAのアカウントを利用する場合、 小ウィンドウで サイトAの認証画面が表示される ID PW user ****

  7. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ BITBは、小ウィンドウ風の画面をURLバー含めてブラウザの中にブラウザを再現することで、 認証情報などを抜き去る手法 https://サイトB

    https://サイトA URLバーも含めて、 ブラウザの中にブラウザを再現 ID PW user **** 狙いはサイトAの認証情報!

  8. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ サンプル URLバーだけで判断しようとすると、 正規のサイトのように見える

    (テスト用なので、 他が明らかに怪しいが笑) この情報の送り先は、 攻撃者のサイト!

  9. Browser In The Browserとは? ▪ ブラウザ内にブラウザ風の描画を作っている ▪ ソース(https://github.com/mrd0x/BITBより引用)

  10. Browser In The Browserの対策 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること! “ブラウザの中でブラウザを再現” しているだけなので、 ブラウザの外に出れない!

  11. まとめ ▪ BITBとは、「URLバーをよく見る」を欺くフィッシング攻撃の一種 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること ▪ あの手この手で、騙そうとしてくるので、ご注意ください! ▪ なお、本手法は絶対に悪用しないでください!

  12. 参考 ▪ Browser In The Browser (BITB) Attack ▪ https://mrd0x.com/browser-in-the-browser-phishing-attack/

    ▪ BITB ▪ https://github.com/mrd0x/BITB