IT 보안/보안최신동향
[220322] 새로운 BitB 공격, 피싱을 보이지 않게 만들어
밍구21
2022. 4. 3. 20:15
🔽기사 전문
http://www.boannews.com/media/view.asp?idx=105589
새로운 BitB 공격, 피싱을 보이지 않게 만들어
보안 외신 해커뉴스에 의하면 ‘브라우저 인더 브라우저(Browser in the Browser)’라는 공격 기법이 나타났다고 한다. 브라우저 창 안에서 또 다른 브라우저 창이 열린 것처럼 꾸밈으로써 사용자들을
www.boannews.com
[요약]
1. ‘브라우저 인더 브라우저(Browser in the Browser)’라는 새로운 공격 기법 발생. 브라우저 안에 새로운 브라우저 창이 열린 것처럼 속이는 방법. 싱글사인온(SSO) 옵션이 임베드 된 웹사이트에서 실행 가능한 공격
2. BitB 시나리오 예시: 공격자가 HTML, CSS 코드 활용으로 해당 절차 흉내 ('구글 계정으로 로그인' 옵션 선택 → 팝업창 생성 및 사용자 로그인 입력) → 공격자는 사용자의 입력정보 탈취
3. BitB 공격은 일반 SSO 로그인 과정과 동일하게 보임. 사용자는 의식 없이 민감한 정보 입력
[용어]
SSO(Single-Sign-On): 하나의 로그인 인증 정보를 사용해 여러 애플리케이션에 접근할 수 있는 중앙화된 세션 및 사용자 인증 서비스
출처: https://www.itworld.co.kr/howto/193849#csidx21280982be4cb26923f8037f74b7875