Ana Elisa Abddala Rocha 09 de fevereiro de 2024

Browser-in-the-browser: o que é e como se proteger desse tipo de golpe? 

Com o avanço da tecnologia e a crescente dependência da internet, a segurança cibernética torna-se uma preocupação cada vez mais presente. Durante anos, a principal dica para não cair na armadilha de sites falsos na web sempre foi a mesma: observar bem o endereço da página. Na maioria das vezes, checar a URL para identificar um golpe bastava. No entanto, uma ameaça emergente está ganhando destaque: o browser-in-the-browser (BitB). Mas afinal, o que é isso e como podemos nos proteger? Neste artigo, exploraremos em detalhes o browser-in-the-browser e discutiremos estratégias eficazes para proteger nossos dados e informações enquanto navegamos na web. 

O que é Browser-in-the-Browser (BitB)? 

O browser-in-the-browser refere-se a uma técnica maliciosa na qual um invasor utiliza um navegador dentro de outro navegador para realizar ataques cibernéticos. Em termos simples, esse tipo de golpe funciona infiltrando-se no navegador principal do usuário, seja por meio de extensões maliciosas, plugins comprometidos ou sites fraudulentos, e é uma forma de phishing que se baseia no uso de HTML5, CSS e JavaScript. 

A página se parecerá exatamente como uma janela real do seu navegador, contando até mesmo com botões de minimizar/maximizar e o campo de URL com o domínio legítimo do serviço pelo qual você pretende se autenticar. Porém, tudo não passa de uma “ilusão de ótica”. 

Uma vez instalado, o BitB age como uma camada adicional entre o usuário e a internet, interceptando todas as atividades de navegação e permitindo que o invasor manipule os dados conforme desejado. 

A única forma de percebê-lo é usando o recurso “inspecionar elemento”, presente em todos os browsers do mercado, e observar o código-fonte do site para perceber que o pop-up é falso.  

No entanto, essa é uma maneira usada por usuários mais avançados. A maneira mais simples de se certificar de que você está realmente visualizando uma janela pop-up verdadeira é tentando movê-la, redimensioná-la, minimizá-la, maximizá-la e até fechá-la. Tente interagir ao máximo, pois há um limite de realismo que os criminosos conseguem obter. 

> Leia também: 6 tipos comuns de ciberataques observados em 2023  

Riscos associados ao browser-in-the-browser 

Roubo de informações pessoais: os invasores podem interceptar dados confidenciais, como senhas, informações de cartão de crédito e dados de login. 

Instalação de malware: pode ser usado para instalar malware no dispositivo do usuário, comprometendo a segurança e privacidade. 

Redirecionamento de tráfego: os invasores podem redirecionar o tráfego da web do usuário para sites maliciosos, expondo-os a ataques de phishing e outras ameaças. 

Prejuízos para empresas: uma vez que um colaborador caia em um phishing browser-in-the-browser por meio de um computador da organização, por exemplo, o cibercriminoso pode ter acesso a diversas informações sensíveis da empresa. Por isso é importante a conscientização. 

Como se proteger dos riscos do browser-in-the-browser? 

Mantenha o software atualizado: certifique-se de manter seu navegador e todas as suas extensões/plugins atualizados para evitar vulnerabilidades de segurança conhecidas. 

Evite instalar extensões desconhecidas: limite o número de extensões instaladas em seu navegador e verifique regularmente quais estão ativas. Remova qualquer extensão suspeita ou não utilizada. 

Utilize uma solução de segurança confiável: instale e mantenha atualizado um software antivírus confiável em seu dispositivo para proteger contra malware e outras ameaças cibernéticas. 

Seja cauteloso ao clicar em links: evite clicar em links suspeitos ou de fontes não confiáveis, especialmente em e-mails ou mensagens de texto. 

Ative a autenticação de dois fatores: ative a autenticação de dois fatores em todas as suas contas que forem possíveis como uma camada adicional de segurança. 

Utilize aparelhos pessoais: ao utilizar aparelhos da empresa para coisas pessoais, além de colocar as suas informações em risco, você pode pôr as da sua organização também. 

> Leia também: Top 8 tendências de cibersegurança para 2024 

Conclusão 

É importante frisar que, até o momento, o ataque browser-in-the-browser é conceitual e não foi detectado sendo utilizado amplamente em uma campanha maliciosa. De qualquer forma, é preciso se preparar desde já, pois há altas chances de que, em breve, esse truque se tornará comum. 

Ele representa uma ameaça significativa à segurança cibernética, mas com a conscientização adequada e práticas de segurança sólidas, podemos mitigar os riscos associados a essa técnica maliciosa. 

Ao seguir as dicas fornecidas neste artigo e estar atento aos sinais de atividade suspeita, podemos navegar na web com mais confiança e tranquilidade. Lembre-se: a segurança cibernética é uma responsabilidade compartilhada e devemos fazer nossa parte para proteger nossos dados e os de nossa organização. 

Para mais conteúdos como esse, acesse nossas redes sociais: Linkedin, Instagram, YouTube e Tiktok.    

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?