Wat zijn Browser-in-the-Browser (BitB) aanvallen?
Cybercriminelen hebben een nieuwe manier gevonden om je om de tuin te leiden.
Hiervoor gebruiken ze een zogenaamde browser-in-the-browser (BitB) aanval, waarin ze een browservenster van jouw browser nabootsen op een phishing site.
Op deze manier kunnen ze steeds succesvollere phishing-aanvallen opzetten.
Er zijn gelukkig ook manieren om je hiertegen te wapenen!
Beter goed gejat
Dan slecht ontwikkeld. Door diverse maatregelen zijn phishing-campagnes voor criminelen steeds lastiger om succesvol te maken. Maar doordat vrijwel iedereen tegenwoordig meer en meer cloud- & onlinediensten gebruikt is het nog steeds een zeer aantrekkelijk doel; als je als crimineel tienduizend phishing-berichten de wereld in slingert en 10% daarvan klikt daarop, dan heb je toch al gauw duizend potentiële slachtoffers. Als daarvan dan weer 10% zijn of haar gegevens invult heb je er toch weer honderd accounts buitgemaakt – en dat levert vaak serieus geld op op het darkweb.
Door een valide loginscherm na te bootsen op een verder legitiem uitziende pagina het zo doen lijken dat je moet inloggen op je Microsoft, Google of welk account dan ook.
In de afbeelding hierboven zie je helemaal boven in de echte adresbalk en op de webpagina zelf een nagebootst browservenster die lijkt alsof ie naar de echte loginpagina van Microsoft 365 gaat, maar dat is helemaal niet het geval.
Dit is namelijk allemaal nep, tot aan het slotje en de knoppen om het venster te sluiten aan toe. Deze techniek maakt gebruik van iframes om de inhoud van een andere webpagina (de daadwerkelijke phishing-pagina in dit geval) op te halen.
Als je hierin dus je gegevens invult komen ze in de handen van de crimineel terecht, met alle gevolgen van dien.
Wachtwoordmanagers
Als je gebruik maakt van een wachtwoordmanager ben je hier mogelijk tegen beschermd.
Deze zijn namelijk vaak voorzien van een functie om automatisch jouw inloggegevens in te vullen, mits de software de loginpagina als valide herkent. In dit geval is het geen valide pagina dus zal jouw wachtwoordmanager dit niet vullen. Dit kan een signaal zijn dat er iets niet klopt.
Helemaal geen wachtwoorden meer
Naast het gebruik van MFA (Multi-Factor Authentication) is inloggen zónder wachtwoorden nog veel beter.
Door een passkey te gebruiken ben je altijd beschermd tegen phishing-pagina want een passkey (een fysieke token) zal echt alleen maar zijn gegevens afgeven als de website waarop je inlogt geldig en veilig is. Jouw Microsoft-gegevens slaat ie op met een koppeling naar de geldige loginpagina. Klopt de loginpagina niet? Dan herkent jouw passkey dit en zal ie jouw gegevens niet afgeven.
Meer weten?
Meer artikelen
- Dirty Frag: een nieuwe Linux-kwetsbaarheid terwijl de vorige nog niet is gedichtWeken na Copy Fail is er opnieuw een ernstige kwetsbaarheid in Linux gepubliceerd. Dirty Frag werkt op een […]
- Copy Fail: een Linux-kwetsbaarheid die al negen jaar onopgemerkt was en nu directe actie vraagtEen ernstige kwetsbaarheid in Linux is publiek gemaakt. De fout zit al sinds 2017 in vrijwel alle versies, […]
- Cyberbeveiligingswet en WWKE aangenomen door Tweede Kamer: wat betekent dit voor jouw organisatie?Het is zover. Gisteren, 15 april 2026, heeft de Tweede Kamer ingestemd met twee wetsvoorstellen die al lange […]
- Kwaadaardige code die je niet kunt zien: hoe aanvallers Unicode misbruiken in open source repositoriesUnicode is de wereldwijde standaard voor het weergeven van tekst in vrijwel elke taal, elk schrift en elk […]
- OAuth-misbruik: hoe aanvallers vertrouwde inlogpagina’s als wapen gebruikenMicrosoft waarschuwde begin maart voor een phishingtechniek waarbij aanvallers misbruik maken van OAuth, het inlogprotocol dat vrijwel elke […]
