Browser-in-the-Browser(BitB) 기법 | 가짜 팝업 원리와 확인 방법
·
🧡 기타/용어사전
이전에 포스팅한 페이스북 피싱 이슈를 보다가, Browser-in-the-Browser(BitB, 브라우저 속 브라우저) 기법을 더 정확히 이해하고 기록해두려고 작성했다.1. 개요BitB는 2022년 연구원 mr.d0x가 개발한 피싱 기법으로 알려져 있다. [1]브라우저 창 안에서 또 다른 브라우저 창이 열린 것처럼 UI를 꾸며 사용자를 속인다. [2]사용자가 "구글/페이스북으로 로그인" 같은 SSO 로그인 버튼을 누르면, 실제 새 창이 아니라 페이지 내부에 가짜 창(iframe/div 기반)을 띄우고 ID/PW 입력을 유도한다.가짜 창에는 공식 도메인처럼 보이는 주소 표시줄과 정식 서비스 인증 화면을 모방한 템플릿이 포함될 수 있어, 사용자가 진짜 OAuth 팝업으로 오인하기 쉽다.2. 공격 방식가..
페이스북 피싱, ‘브라우저 속 브라우저(BitB)’ 기법 확산…가짜 팝업으로 계정 탈취
·
🧡 보안/보안뉴스
1. 요약정상 로그인 팝업처럼 보이도록 웹페이지 내부에 가짜 창(BitB)을 구현해, 사용자가 페이스북 자격 증명(ID/PW)을 입력하도록 유도하는 피싱이 확산 중이다.2. 공격 방식 : Browser-in-the-Browser(BitB)① 브라우저 속 브라우저(Browser-in-the-Browser, BitB) 기법 활용② 사용자가 정상 로그인 절차로 착각하도록 만드는 가짜 팝업 창을 띄운 뒤③ 계정 정보 입력하게 유도3. BitB 특징웹페이지 안에서 로그인 팝업처럼 보이는 창을 직접 구현하는 방식주소창/창 제목/로그인 UI까지 갖춘 브라우저 팝업처럼 보이지만, 실제로는 페이지 내부에서 동작하는 가짜 창시각적으로 구분하기 어렵다는 점을 노림4. 최근 동향 : 사회공학 메시지 + 신뢰 인프라 악용사회공..