新しいブラウザインザブラウザ（BITB）攻撃により、フィッシングがほとんど検出されなくなります

ブラウザインザブラウザ（BitB）攻撃と呼ばれる新しいフィッシング手法を悪用して、ブラウザ内のブラウザウィンドウをシミュレートし、正当なドメインをスプーフィングして、説得力のあるフィッシング攻撃を仕掛けることができます。
ユーザーがこれらのメソッドを介してサインインしようとしたときのデフォルトの動作は、認証プロセスを完了するためにポップアップウィンドウによって表示されますが、BitB攻撃は、HTMLコードとCSSコードを組み合わせてこのプロセス全体を複製し、完全に作成されたブラウザウィンドウ。
「この場合、ドメインは正当でHTTPSを使用しているsteamcommunity[。]comであるため、すべて問題なく表示されます。ただし、現在使用されているウィンドウからこのプロンプトをドラッグしようとすると、ウィンドウの端を超えて表示されなくなります。正規のブラウザポップアップではなく、現在のウィンドウでHTMLを使用して作成されています。」
この方法を使用すると、効果的なソーシャルエンジニアリングキャンペーンを簡単に実行できますが、潜在的な被害者は、資格情報を収集するためのこのような偽の認証ウィンドウを表示できるフィッシングドメインにリダイレクトされる必要があることに注意してください。
「しかし、攻撃者が所有するWebサイトにアクセスすると、ユーザーは正当なWebサイトのように見えるものに自分の資格情報を入力するので安心します（信頼できるURLがそう言っているため）」とmrd0xは付け加えました。