Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Browser In The Browserの紹介

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for shunaroo shunaroo
April 05, 2022
Technology
0
110

Browser In The Browserの紹介

最近、フィッシング攻撃の一つとして、Browser In The Browserと呼ばれる新しい攻撃手法が提案されました。特徴は、URLバーを確認すれば、偽サイトを判別できるという対策を欺くために、ブラウザ内にブラウザのような描画をすることです。対策としては、あくまでブラウザ内で描画しているので、ブラウザ外にでることができるかを確認することが有効です。

Avatar for shunaroo

shunaroo

April 05, 2022
Tweet

More Decks by shunaroo

See All by shunaroo
Webキャッシュポイズニング
Avatar for shunaroo shunaroo
0
820

Other Decks in Technology

See All in Technology
Digitization部 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
6.8k
~Everything as Codeを諦めない~ 後からCDK
Avatar for mu7889yoon / Yuta Nakamura mu7889yoon
3
310
こんなところでも(地味に)活躍するImage Modeさんを知ってるかい?- Image Mode for OpenShift -
Avatar for Masataka Tsukamoto tsukaman
0
120
Bill One急成長の舞台裏 開発組織が直面した失敗と教訓
Avatar for SansanTech sansantech
PRO
2
340
FinTech SREのAWSサービス活用/Leveraging AWS Services in FinTech SRE
Avatar for maaaato maaaato
0
130
SREチームをどう作り、どう育てるか ― Findy横断SREのマネジメント
Avatar for adachi.ryo rvirus0817
0
130
AWS Network Firewall Proxyを触ってみた
Avatar for nagisa_53 nagisa53
1
210
茨城の思い出を振り返る ~CDKのセキュリティを添えて~ / 20260201 Mitsutoshi Matsuo
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
230
【5分でわかる】セーフィー エンジニア向け会社紹介
Avatar for Safie safie_recruit
0
42k
MCPでつなぐElasticsearchとLLM - 深夜の障害対応を楽にしたい / Bridging Elasticsearch and LLMs with MCP
Avatar for Sashimimochi sashimimochi
0
150
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
Avatar for Riotaro OKADA okdt
PRO
3
590
AzureでのIaC - Bicep? Terraform? それ早く言ってよ会議
Avatar for Toru Makabe torumakabe
1
510

Featured

See All Featured
Discover your Explorer Soul
Avatar for Emna emna__ayadi
2
1.1k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
180
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.3k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon szymonslowik
1
210
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.1k
How to build a perfect <img>
Avatar for Jono Alderson jonoalderson
1
4.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
122
21k
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
690
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
65
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.6k

Transcript

  1. Browser In The Browser ~URLバーを再現する新しいフィッシング攻撃手法~ @shunaroo

  2. 自己紹介 @shunaroo ▪ 経歴 (重複あり) ▪ Webアプリ開発 5~6年 ▪ Web/NW脆弱性診断

    3~4年 ▪ コンサルもどき 1~2年 ▪ 趣味 ▪ 犬を愛でる ▪ ゴルフ

  3. Browser In The Browserとは? ▪ 本物そっくりの偽サイトで、ユーザをだます手法「フィッシング攻撃」の一つとして最近?提唱されました 被害者 偽サイト 悪い人 本物と勘違いして

    重要な情報を入力 悪い人に情報が 漏洩してしまう フィッシングの例

  4. Browser In The Browserとは? ▪ フィッシングサイトの判別方法の1つは、「URLバーをよく見る」 偽物の場合は、URLが誤っている 例: ・twiter.com(tがない) ・twltter.com(iじゃなくl)

    など

  5. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 最近は、別サイトのアカウントで認証することが増えている サイトA Google,

    MS, Facebook, etc.. サイトB サイトAのアカウントを 使ってサイトBにログイン

  6. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ 別サイトのアカウントを使ってログインする際は、小ウィンドウが表示される https://サイトB https://サイトA

    サイトAのアカウントを利用する場合、 小ウィンドウで サイトAの認証画面が表示される ID PW user ****

  7. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ BITBは、小ウィンドウ風の画面をURLバー含めてブラウザの中にブラウザを再現することで、 認証情報などを抜き去る手法 https://サイトB

    https://サイトA URLバーも含めて、 ブラウザの中にブラウザを再現 ID PW user **** 狙いはサイトAの認証情報!

  8. Browser In The Browserとは? ▪ BITBは、「URLバーをよく見る」を欺く手法 ▪ サンプル URLバーだけで判断しようとすると、 正規のサイトのように見える

    (テスト用なので、 他が明らかに怪しいが笑) この情報の送り先は、 攻撃者のサイト!

  9. Browser In The Browserとは? ▪ ブラウザ内にブラウザ風の描画を作っている ▪ ソース(https://github.com/mrd0x/BITBより引用)

  10. Browser In The Browserの対策 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること! “ブラウザの中でブラウザを再現” しているだけなので、 ブラウザの外に出れない!

  11. まとめ ▪ BITBとは、「URLバーをよく見る」を欺くフィッシング攻撃の一種 ▪ 見破る方法は、「ウィンドウ風のものが、画面外にいけるか確認」すること ▪ あの手この手で、騙そうとしてくるので、ご注意ください! ▪ なお、本手法は絶対に悪用しないでください!

  12. 参考 ▪ Browser In The Browser (BITB) Attack ▪ https://mrd0x.com/browser-in-the-browser-phishing-attack/

    ▪ BITB ▪ https://github.com/mrd0x/BITB