(+34) 910 42 42 93 [email protected]

fraudes bitb

La industria del cibercrimen está siempre activa, buscando la mejor manera de engañar a los usuarios.

Recientemente, de la mano de la empresa de ciberseguridad Group-IB (EN), conocíamos la existencia de una campaña aún activa de phishing dirigida principalmente a jugadores profesionales de juegos como Counter Strike, S.T.A.L.K.E.R o Dota 2 (entre otros muchos), que utiliza como gancho una técnica llamada Browser in the Browser, o BitB.

¿Cómo funciona el ataque BitB?

En si, se trata de una campaña de phishing tradicional, en la que los cibercriminales crean una web aparentemente legítima en la que, por la excusa que sea, piden que agreguemos las credenciales de acceso a la cuenta que quieren robar.

Por supuesto, en cuanto las metemos, esas credenciales pasan a ser de dominio del grupo, robándonos la cuenta y usurpando con ello nuestra identidad.

En este caso en particular, se hacen pasar por la página de un torneo de alguno de estos juegos electrónicos, y para unirse, la víctima puede identificarse con su cuenta de Steam.

ejemplo phishing bitb
Aquí tienes un ejemplo de campaña de phishing, donde una web falsa carga aparentemente un popup con el sistema de logging de Steam

Y para ello, la página carga el sistema de logging de Steam, que carga en una ventana emergente.

¿Dónde está el truco entonces? Pues que ese popup de Steam, que en efecto carga con un SSL verificado de Valve (la compañía detrás de Steam) y una URL real, ¡no es un popup!

Pese a que se puede redimensionar o incluso minimizar y mover, es un elemento más de la web. Uno muy sofisticado, ya que a ojos de cualquiera parecería que es una ventana externa. Pero forma parte de la propia web.

Fíjate si han tenido en cuenta hasta el más pequeño de los detalles, que hasta el sistema nos pide el 2FA para acceder. Por supuesto, todo es un paripé, ya que en el momento en el que metamos los credenciales, estos pasarán a estar bajo control de los cibercriminales.

ejemplo popup javascript
En esta imagen podemos ver cómo realmente los elementos del popup como son los botones de minimizado, maximizado, cierre y el cajetín de la URL son elementos cargados dinámicamente por el javascript de la página, y no por la interfaz del propio navegador

¿Cómo evitar ser víctima de un ataque BitB?

A nivel visual, como decía, no hay diferencia alguna entre un popup y este elemento de diseño de la página. A lo sumo, sería conveniente fijarse en que por razones obvias, este BitB NO genera una ventana más en el navegador. Es decir, que podríamos darnos cuenta de que se trata de un timo si nos fijamos en que solo tenemos una instancia activa del navegador, y no dos.

Además, otra cosa que nos podría evitar caer víctimas de este ataque es tener desactivado javascript por defecto en la navegación. Pero claro, al hacerlo habrá muchas páginas legítimas que directamente no funcionen…

Para colmo este tipo de ataques mediante BitB se están haciendo cada vez más populares. En este caso se trata de un ataque a jugadores de eSports, pero ya se han identificado campañas semejantes dirigidas al público generalista y que usa de gancho los sistemas de logging de Google, Microsoft, Facebook o Apple.

Muchísimo ojo con dónde ponemos nuestros datos…

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Monitorización y escucha activa

Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.

Planes de autoridad y Presencia Digital

Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.

Gestión de crisis reputacionales

Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.


Pablo F. Iglesias

Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.

Descarga gratis nuestro ebook de reputación online
Recibe de manera totalmente gratuita y al instante, el eBook que analiza un caso de estudio de mala gestión de crisis reputacionales, además de informes mensuales directamente en tu correo.
Descarga gratis nuestro ebook de reputación online
Recibe de manera totalmente gratuita y al instante, el eBook que analiza un caso de estudio de mala gestión de crisis reputacionales, además de informes mensuales directamente en tu correo.