偽のポップアップウインドウを表示させてフィッシング。恥ずかしながら知らなかった。(*ノωノ)
ポップアップウインドウのドメインやURLは本物とものと同じであるため、知らなければ絶対引っかかるレベル。
このウインドウ偽物。ドメインが本物。
どういうこと
表示されるのは実際のブラウザのポップアップウィンドウではなく、JavaScriptとCSSで巧妙に再現された偽のウィンドウ
HTMLとCSSとJavaScriptで作られた「ウィンドウ風のUI要素」。
実際にはアドレスバーのように見えるものは、アドレスバーではない。ウインドウも頑張ってできた作り物。実際のアドレスバーではないので、任意の値を設定できる。
絶対に知らないと回避できない
本物のURLやドメインを表示させられるのでヤバすぎる。ゆめゆめ忘るることなかれ。
参考
・Analyzing the latest Sneaky2FA BITB phishing page
https://pushsecurity.com/blog/analyzing-the-latest-sneaky2fa-phishing-page/
・Browser In The Browser (BITB) Attack | mr.d0x
https://mrd0x.com/browser-in-the-browser-phishing-attack/
