国际安全研究人员最近发现了一组危险的网络钓鱼工具。该工具旨在让诈骗者和网络犯罪分子仅使用伪造的 Chrome 浏览器窗口即可创建简单有效的在线钓鱼登录表单。

这个假窗口设计得非常逼真，还附带了一系列熟悉谷歌、微软、苹果、Twitter甚至Steam的登录选项。下面的示例显示了 DropBox 登录表单，允许用户使用 Apple 或 Google 帐户登录。

当您单击“在 Google 或应用程序中登录”按钮时，将显示单点登录 (SSO) 浏览器窗口，提示您输入凭据并继续您的帐户登录。

这些窗口被删除，只显示登录表单和登录表单的 URL 地址栏。

尽管在这些 SSO 窗口中禁用了地址栏，但您仍然可以使用显示的 URL 来验证是否使用了合法的 google.com 域来登录该站点。此 URL 的存在使表单更值得信赖，并且毫无疑问会让您在输入登录信息时感到舒适。

过去，威胁参与者曾尝试使用 HTML、CSS 和 JavaScript 创建这些伪装的 SSO 窗口。但是窗户通常有些不同，使它们看起来很可疑，而不是像上面的例子那样“真实”。

浏览器中的浏览器攻击

这些假浏览器窗口的出现导致了一种新的攻击形式，称为“浏览器中的浏览器（BitB）”。他们使用现成的模板来创建虚假的 Chrome 弹出窗口，但其设计看起来像真实的东西，包括可用于网络钓鱼攻击的自定义 URL 和地址标头。

基本上，BitB 攻击在真实浏览器窗口（浏览器内的浏览器）内创建虚假浏览器窗口，从而有助于提高网络钓鱼活动的说服力。

昵称 mr.d0x 的安全研究人员最近发布了 BitB 攻击样本示例（通过 GitHub）。这些包括 Windows 和 Mac 上的假 Chrome 窗口，在深色和浅色背景的外观上有所不同。

恶意行为者有时只需下载模板，对其进行编辑以包含所需的 URL 和标题，然后使用 iframe 显示登录表单。或者，也可以直接为登录表单添加 HTML。但是，此过程将要求黑客知道如何使用 CSS 和 HTML 正确对齐表单。

Evilginx 网络钓鱼工具包的创建者 Kuba Gretzky 测试了新方法，并展示了它如何与 Evilginx 平台完美配合。这意味着它可以适应在网络钓鱼攻击中窃取 2FA 密钥。

事实上，这不是一种诈骗技术。2020年，出现了多起假游戏网站利用上述技术窃取Steam登录信息的案例。