«Browser in the browser»-angrep:

– Oi, dette er stygt!

Selv godt rutinerte kan gå fem på.

EKTE: Dette innloggingsvinduet er ekte, men knapt mulig å skille fra et falskt vindu. Foto: Pål Joakim Pollen
EKTE: Dette innloggingsvinduet er ekte, men knapt mulig å skille fra et falskt vindu. Foto: Pål Joakim Pollen Vis mer
Publisert
Sist oppdatert

Ett av de tradisjonelle og viktigste tipsene for å ferdes sikkert på nettet er alltid å sjekke adressefeltet i nettleseren før man taster inn brukernavn og passord, i tilfelle man har snublet borti en falsk nettside.

Men nå er selv ikke det nok. Sikkerhetsforskeren som kaller seg mr.d0x delte forleden dag en ganske utspekulert fremgangsmåte som han har kalt «Browser in the browser attack» (BitB), og som vi frykter vil spre seg som ild i tørt gress blant nettsvindlere.

– Oi, dette er stygt, skriver dataeksperten Francios Zaninotto på Twitter om den nye svindelmetoden.

Forfalsker innloggingsvindu

De siste årene har det blitt ganske mange tjenester som tilbyr deg å logge på med for eksempel Facebook-, Microsoft- eller Google-profilen din.

Det foregår som regel ved at du trykker på ønsket tjeneste, og så spretter det opp et vindu der du logger på og godkjenner at den opprinnelige tjenesten får tilgang til (deler av) din brukerinformasjon.

Her har brukeren trykket på knappen for å logge inn med Google, men vinduet som spretter opp er falskt. Foto: mr.d0x
Her har brukeren trykket på knappen for å logge inn med Google, men vinduet som spretter opp er falskt. Foto: mr.d0x Vis mer

Det nye trikset går ut på å forfalske dette innloggingsvinduet. Det ser ut som om det er et nytt vindu som har poppet opp, og du kan til og med flytte det rundt på skjermen. Bare se på følgende snutt:

Her er det fort gjort å taste inn brukernavn og passord. Som du ser har til og med vinduet en nettadresse i tråd med den man kan forvente. Skaperen har gjort koden tilgjengelig for andre, med vindusvarianter både for macOS og Windows, og med dag- og nattmodus.

Slik avslører du bløffen

Denne svindelmetoden er svært vanskelig å avsløre om man ikke følger med - særlig siden nettadressen i vinduet tilsvarer den du ville ha sett om vinduet var legitimt.

En forskjell mellom det falske vinduet og et ekte vindu, er at det ekte vinduet kan flyttes utenfor nettleservinduet på datamaskinen. Det falske vinduet får du bare flyttet innenfor arealet nettsiden opptar, siden det tross alt bare er en del av nettsiden.

Om du bruker en passordtjeneste, enten den som følger med i nettleseren eller fra tredjepart (LastPass, Bitwarden, 1Password og lignende), vil ikke tjenesten fylle ut brukernavn og passord i det falske vinduet.

Det er heller ikke dumt å bruke såkalt tofaktorautentisering der du kan, slik at man i tillegg til brukernavn og passord trenger en engangskode for å logge på fra en ny enhet. Det kan du lese mer om her:

Vi bryr oss om ditt personvern

Dinside er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer