Este kit de phishing do Chrome é assustador como o inferno
Enganar as pessoas a entregar suas credenciais de login nunca foi tão fácil. Conforme mostrado em um novo kit de ferramentas de phishing, os pop-ups de logon único (SSO) são incrivelmente fáceis de falsificar no Chrome, e o URL de uma caixa de login pode não indicar se um site é realmente legítimo.
Você sabe como alguns sites permitem que você faça login usando sua conta do Google, Apple, Facebook ou Amazon? Isso é um login SSO—é uma valiosa economia de tempo, pois reduz o número de nomes de usuário e senhas que você precisa lembrar.
Aqui está o problema; os hackers podem replicar perfeitamente essas janelas de SSO no Chrome, até mesmo no URL. Um novo kit de phishing do dr.d0x, um pesquisador de segurança, inclui um modelo pronto que hackers novatos ou chapéus brancos podem usar para criar rapidamente um pop-up de SSO convincente. (Outros modelos já podem estar flutuando nos círculos de hackers.)
Os hackers que utilizam essas janelas SSO falsas as colocam em todos os tipos de sites. Um hacker pode enviar um e-mail sobre sua conta do Dropbox, por exemplo, e pedir para você visitar um determinado link. Esse link pode direcionar para uma página falsa do Dropbox com opções de login SSO para Google, Apple e Facebook. Qualquer informação que você inserir nessas caixas de SSO falsas, como seu login do Google, será coletada pelo hacker.
É claro que sites de vídeos piratas (e outros sites que oferecem coisas "gratuitas") podem ser o destino mais comum para essas janelas de SSO falsificadas. Um hacker pode criar um site de vídeo pirata que exija um login de SSO, por exemplo, forçando as pessoas a entregar sobre suas credenciais do Google ou do Facebook.
Para esclarecer, o dr.d0x não inventou o SSO ou a exploração de phishing do navegador no navegador. Os hackers começaram a falsificar as janelas de login do SSO há vários anos. Este kit de phishing simplesmente mostra como essas explorações funcionam. Além disso, as empresas podem usar este kit para testar a capacidade de seus funcionários de detectar esquemas de phishing.
Evitar um ataque de phishing pode ser difícil. Sugiro que você comece instalando um gerenciador de senhas, que geralmente detecta tentativas de phishing e o ajudará a usar informações de login exclusivas para cada site (o que reduz qualquer dano de um ataque de phishing bem-sucedido). Você também deve evitar abrir links em e-mails ou mensagens de texto, mesmo que pareçam sérios ou legítimos.
Fonte: mr.d0x via BleepingComputer