Nieuwe phishingtruc met nepbrowser

phishing

Phishing is een vorm van internetfraude waarbij je naar een nagebootste website wordt gelokt. Vaak kun je al aan de URL zien dat er iets niet klopt, maar niet altijd. Er is namelijk een nieuwe phishingtruc, waarmee er binnen je browser een venster kan worden nagebootst om zo een legitiem domein te simuleren. Zonder vreemde URL.

Het gaat om een zogenoemde browser-in-the-browser-aanval, afgekort BitB. Een anonieme hacker met het pseudoniem mr.d0x zette onlangs een gedetailleerd rapport online over deze nieuwe phishingtechniek.

Het trucje is vooral gevaarlijk als je regelmatig met één account inlogt op meerdere websites. Veel websites bieden namelijk de mogelijkheid om bijvoorbeeld via een Google- Microsoft- of Facebook-account in te loggen op de betreffende website. Dat oogt veiliger en het is ook wel makkelijk: je hoeft op die manier niet iedere keer een nieuw account aan te maken. Er verschijnt vaak een pop-upvenster, waarmee je inlogt op een Google-Account of Facebook-account. 

Het zijn deze vensters die momenteel worden vervalst. Ze zijn nauwelijks te onderscheiden van legitieme inlogvensters. De URL en inlogpagina zien er niet gek uit en in de zoekbalk van je browser zie je een slotje waardoor je zou verwachten dat je verbinding hebt met een veilige site. Maar niets is minder waar. 

Deze inlogvensters worden gebruikt in een BitB-aanval.

Zo bescherm je jezelf

Hoe voorkom je dat je slachtoffer wordt van zo’n BitB-aanval? Net als bij veel andere spam en phishingtrucs kom je al een eind met logisch nadenken. Je kunt bij een BitB-aanval enkel in de val trappen als je al op een schimmige website bent geweest. Zit je op een legitieme website, dan kan een hacker jou niet ineens een malafide inlogvenster voorschotelen. 

Het is dus belangrijk dat je kritisch blijft op linkjes die je op het internet of in je mail tegenkomt. Zo voorkom je dat je op onbetrouwbare websites terechtkomt en zodoende in de BitB-val trapt. 

Wachtwoordmanager biedt bescherming

Dan is er nog de bescherming die wachtwoordmanagers bieden. Wellicht val jij voor de bijna perfect nagemaakte inlogvensters, maar je wachtwoordmanager doet dat niet. Op het vervalste inlogscherm vind je namelijk niet echt een invulformulier. Je wachtwoordmanager kan dus geen inloggegevens voor je invullen. Dat is een teken dat er iets niet klopt. Een wachtwoordkluis vormt dus een extra beschermlaag tegen de nieuwe phishingtruc.