Il Lupo nel Display: Cos'è la tecnica BitB e perché somiglia a una porta dipinta sul muro

Ciao nipoti miei, siete comodi si?. Oggi voglio raccontarvi di un trucco molto furbo che i pirati del web usano per rubare le chiavi delle vostre case digitali. Si chiama BitB, che sta per Browser-in-the-Browser. Tradotto in parole semplici? È come se un ladro entrasse nel vostro giardino e dipingesse sulla parete una porta identica a quella di casa vostra, sperando che voi proviate a infilare le chiavi proprio lì.

Come funziona l'inganno: La matrioska digitale

Avete presente quando entrate in un sito nuovo e, invece di registrarvi, cliccate sul tasto "Accedi con Google" o "Accedi con Facebook"? Normalmente, si apre una piccola finestrella separata dove scrivete la vostra password. Ecco, la tecnica BitB crea una finestrella finta che non è una vera pagina di Google, ma un disegno perfetto fatto con il codice del sito malevolo.

Vedete l'indirizzo "google.com" in alto? Vedete il lucchetto verde? In un attacco BitB, quelli sono solo disegni! È una matrioska: un browser finto dentro il vostro browser vero. Se scrivete la password lì dentro, non la state dando a Google, ma la state consegnando direttamente nelle mani del pirata che ha allestito la scena.

Il consiglio del saggio Mauretto e il trucco del "Trasloco"

Come dice sempre il saggio Mauretto, la sicurezza non è fatta solo di lucchetti, ma di attenzione ai dettagli. Esiste un trucco semplicissimo per smascherare questi lupi travestiti da pecore: provate a trascinare la finestrella di login.

Se è una finestra vera, potrete spostarla fuori dai bordi del browser, magari portandola sul desktop del computer. Se invece è un attacco BitB, la finestrella rimarrà "incastrata" dentro la pagina web: non potrà uscire dal perimetro del browser perché, appunto, è solo un pezzo di quella pagina ma disegnata.

Come proteggere le proprie password

Oltre al trucco del trascinamento, ecco tre regole d'oro per dormire sonni tranquilli:

1. Usate un Password Manager: Questi programmi sono più intelligenti di noi. Se vi trovate su una pagina finta, il vostro gestore di password non riconoscerà il sito e non compilerà i campi in automatico. Se non "scrive" da solo, diffidate!

2. Attivate l'Autenticazione a Due Fattori (MFA): È come avere una seconda serratura che richiede un codice sul cellulare. Anche se il ladro vi ruba la password con il trucco BitB, non potrà entrare senza quel secondo codice.

3. Occhio ai link sospetti: Spesso questi siti trappola arrivano tramite email o messaggi che vi dicono "Conto bloccato" o "Hai vinto un premio". La fretta è la migliore amica dei truffatori.

Ti è piaciuta questa chiacchierata?
Se vuoi approfondire o semplicemente fare due chiacchiere da bar, vieni a trovarmi su WhatsApp cliccando qui!