Ett av de tradisjonelle og viktigste tipsene for å ferdes sikkert på nettet er alltid å sjekke adressefeltet i nettleseren før man taster inn brukernavn og passord, i tilfelle man har snublet borti en falsk nettside.
Men nå er selv ikke det nok. Sikkerhetsforskeren som kaller seg mr.d0x delte forleden dag en ganske utspekulert fremgangsmåte som han har kalt «Browser in the browser attack» (BitB), og som vi frykter vil spre seg som ild i tørt gress blant nettsvindlere.
– Oi, dette er stygt, skriver dataeksperten Francios Zaninotto på Twitter om den nye svindelmetoden.
Forfalsker innloggingsvindu
De siste årene har det blitt ganske mange tjenester som tilbyr deg å logge på med for eksempel Facebook-, Microsoft- eller Google-profilen din.
Det foregår som regel ved at du trykker på ønsket tjeneste, og så spretter det opp et vindu der du logger på og godkjenner at den opprinnelige tjenesten får tilgang til (deler av) din brukerinformasjon.

Det nye trikset går ut på å forfalske dette innloggingsvinduet. Det ser ut som om det er et nytt vindu som har poppet opp, og du kan til og med flytte det rundt på skjermen. Bare se på følgende snutt:
Her er det fort gjort å taste inn brukernavn og passord. Som du ser har til og med vinduet en nettadresse i tråd med den man kan forvente. Skaperen har gjort koden tilgjengelig for andre, med vindusvarianter både for macOS og Windows, og med dag- og nattmodus.

Jammen … adressene er jo like?
Slik avslører du bløffen
Denne svindelmetoden er svært vanskelig å avsløre om man ikke følger med - særlig siden nettadressen i vinduet tilsvarer den du ville ha sett om vinduet var legitimt.
En forskjell mellom det falske vinduet og et ekte vindu, er at det ekte vinduet kan flyttes utenfor nettleservinduet på datamaskinen. Det falske vinduet får du bare flyttet innenfor arealet nettsiden opptar, siden det tross alt bare er en del av nettsiden.
Om du bruker en passordtjeneste, enten den som følger med i nettleseren eller fra tredjepart (LastPass, Bitwarden, 1Password og lignende), vil ikke tjenesten fylle ut brukernavn og passord i det falske vinduet.
Det er heller ikke dumt å bruke såkalt tofaktorautentisering der du kan, slik at man i tillegg til brukernavn og passord trenger en engangskode for å logge på fra en ny enhet. Det kan du lese mer om her: