Browser-in-the-Browser(BitB) 기법 | 가짜 팝업 원리와 확인 방법
·
🧡 기타/용어사전
이전에 포스팅한 페이스북 피싱 이슈를 보다가, Browser-in-the-Browser(BitB, 브라우저 속 브라우저) 기법을 더 정확히 이해하고 기록해두려고 작성했다.1. 개요BitB는 2022년 연구원 mr.d0x가 개발한 피싱 기법으로 알려져 있다. [1]브라우저 창 안에서 또 다른 브라우저 창이 열린 것처럼 UI를 꾸며 사용자를 속인다. [2]사용자가 "구글/페이스북으로 로그인" 같은 SSO 로그인 버튼을 누르면, 실제 새 창이 아니라 페이지 내부에 가짜 창(iframe/div 기반)을 띄우고 ID/PW 입력을 유도한다.가짜 창에는 공식 도메인처럼 보이는 주소 표시줄과 정식 서비스 인증 화면을 모방한 템플릿이 포함될 수 있어, 사용자가 진짜 OAuth 팝업으로 오인하기 쉽다.2. 공격 방식가..