od 2023-05-19

Internetowi oszuści ciągle szukają nowych sposobów na pozyskanie naszych danych. Od pewnego czasu obserwujemy ataki typu "okno w przeglądarce".

Sama nazwa ataku "okno w przeglądarce" wzięła się od angielskiego "browser in the browser". To określenie częściowo zdradza nam, na czym polega technika oszustwa. Wykorzystując chwilę naszej nieuwagi, oszust może w łatwy sposób pozyskać nasze dane logowania, np. do mediów społecznościowych. Na szczęście, w równie prosty sposób możemy się przed tym obronić.

Jak to działa?

Taka metoda ataku polega na wyświetleniu fałszywego okienka, w którym jesteśmy poproszeni o wpisanie swoich danych logowania. Sam proces jest jednak bardziej złożony i wymaga od cyberprzestępcy pewnych przygotowań.

Na początek, oszust musi stworzyć fałszywą stronę internetową, która będzie wyglądała identycznie jak ta, pod którą chce się podszyć. Po co to robi? Bo nie ma możliwości wyświetlenia oszukanego okienka z prośbą o logowanie na prawdziwej, bezpiecznej stronie internetowej. Ta informacja bardzo przyda nam się, gdy będziemy omawiali metody obrony przed atakiem.

Sama fałszywa strona jednak nie wystarczy - teraz trzeba przekonać ludzi, żeby na nią weszli i dali się złapać na oszustwo. Tutaj cyberprzestępcy stosują naprawdę różne techniki. Mogą podszyć się pod firmę lub instytucję publiczną, wysyłając wiadomości e-mail. Korzystają też z reklam wyświetlanych w mediach społecznościowych i wyszukiwarkach, np. Google. Katalog ich działań nie jest zamknięty, ale wszystkie sprowadzają się do przekonania nas, żebyśmy weszli na podstawioną stronę internetową.

Jeżeli na nią przejdziemy, zobaczymy właśnie tytułowe "okno w przeglądarce". Zostaniemy poproszeni o zalogowanie się, na przykład do naszego konta Facebook lub Google. Najczęściej pojawi się również informacja, że jest to konieczne do dalszego wyświetlenia informacji, albo innego działania, które chcielibyśmy podjąć. Gdy wpiszemy nasze dane, najczęściej wyświetli się komunikat o trwających "czynnościach serwisowych", które tymczasowo nie pozwalają na dostęp do usługi.

Ma to oczywiście na celu uśpienie naszej czujności. Po wpisaniu naszych danych, trafiają one do oszusta, który może je wykorzystać do dowolnych celów. Na przykład, dane do logowania na Facebooku mogą zostać wykorzystane jako konto dla internetowego "trolla". Jeśli posiadaliśmy na nim zdjęcia, którymi raczej nie chcemy dzielić się z innymi, oszust może również spróbować nas szantażować.

Wreszcie, istnieją liczne przypadki przejęć kont Google, z których korzystali twórcy w serwisie Youtube. Treści na ich kanałach były wtedy podmieniane na informacje, które służyły do przeprowadzania dalszych oszustw, na przykład "na inwestycję". Ten sam schemat odbywał się również na innych mediach społecznościowych, swego czasu będąc dość popularnym na Twitterze.

Obrona

Na nasze szczęście, możemy dość łatwo obronić się przed "oknem w przeglądarce". Przede wszystkim, występują one wyłącznie na fałszywych stronach, podstawionych przez oszustów. Samo rozpoznanie przez nas takiej strony wyeliminuje szansę na dołączenie do grona ofiar oszustwa. Zwracajmy uwagę na dziwnie wyglądające i brzmiące adresy, posiadające literówki bądź nietypowe nazwy domen. Przysłowiowa "czerwona lampka" powinna zapalić się w naszej głowie, gdy zamiast na przykład domeny ".com" lub ".pl", zobaczymy w adresie strony ".cc" - czyli adres domeny Wysp Kokosowych. Zazwyczaj takie oszustwa odbywają się w oparciu o znane międzynarodowo portale, więc im bardziej egzotyczny wydaje się adres, tym większe budzi podejrzenia.

Tradycyjnie polecamy też posiłkować się portalem VirusTotal (virustotal.com), w którym można sprawdzić dany adres internetowy pod kątem jego bezpieczeństwa. Jego wyniki nie są jednak idealne, jeśli dana strona internetowa został niedawno założona. Stąd, choć poleganie na tym portalu może być pomocne, nie może zastąpić naszej czujności.

Pewny sposób

Sposobem który pozwoli nam w 100% rozpoznać takie zagrożenie, jest "przeciągnięcie okna". Choć z naszego punktu widzenia prośba o wprowadzenie swoich danych logowania wyświetliła się w nowym oknie, tak naprawdę jest to stały element strony. Co to dla nas oznacza?

Normalnie, jeżeli zmniejszymy okno przeglądarki tak, by zajmowało tylko część ekranu, mniejsze okienko powinno bez przeszkód dać się "przeciągnąć" poza obszar większego. Możemy to zrobić po prostu klikając na nagłówek, a następnie przytrzymując lewy przycisk myszki, przeciągnąć mniejsze okienko poza obszar drugiego.

Jeśli okienko z prośbą o logowanie nie chce wyjść z okna przeglądarki - jest to oszustwo. Właśnie dlatego jest to tak prosty do odróżnienia wariant oszustwa. Wystarczy spróbować przeciągnąć okienko poza obszar przeglądarki.

Sejf dla haseł

Przed próbą takiego oszustwa uchroni nas część menedżerów haseł. Dla przypomnienia - są to programy, w których zapisujemy nasze hasła w sposób bardziej bezpieczny, niż na żółtej karteczce przypiętej do lodówki lub tablicy korkowej.

Część z menedżerów zapewnia automatyczne uzupełnienie danych logowania po wejściu na stronę. Nie zrobią tego, jeżeli adres strony jest fałszywy. Dlatego warto rozważyć skorzystanie z któregoś menedżera haseł - większość jest dostępna za darmo, lub za niewielką opłatą.

Redukcja szkód

Istnieje sposób na zabezpieczenie się przed skutkami tego oszustwa w przypadku, gdybyśmy mimo wszystko wpisali dane logowania na podstawionej stronie. Dwuetapowy mechanizm logowania zapewni nam bezpieczeństwo nawet, gdy wycieknie nasz login i hasło do danego serwisu.

Obecnie ten mechanizm oferuje coraz więcej usług, między innymi wspomniane już konta Google. Polega on na dodanie jeszcze jednego etapu logowania, oprócz tradycyjnego "wprowadź login i hasło". Najczęściej logowanie dwuetapowe sprowadza się do konieczności wprowadzenia kodu, który dostaliśmy w osobnej wiadomości SMS albo w aplikacji zainstalowanej na smartfonie.

O ile oszuści nie pozyskali dostępu do naszego urządzenia (co w tym kontekście jest mało prawdopodobne), taka forma logowania zabezpieczy nasze konto przed przejęciem. Musimy oczywiście pamiętać, żeby ustawić logowanie dwuetapowe jeszcze przed ewentualnym oszustwem.

Podsumowanie

Technika "okna w przeglądarce", jak w wielu innych metodach oszustw, opiera się na uśpieniu naszej czujności. Możemy się przed nią obronić, o ile zachowamy czujność. Dobrym sposobem wykrycia próby oszustwa jest "przeciągnięcie" mniejszego okna poza obszar przeglądarki, co w przypadku oszustwa jest niemożliwe. Warto też zastosować menedżer haseł oraz logowanie dwuetapowe, by dodatkowo zmniejszyć szansę na przejęcie naszych kont.