A hagyományos Man-in-the-Middle (MitM) típusú támadásokkal szemben egyre nagyobb teret nyer egy új, kifinomultabb technika, a Browser-in-the-Middle (BiTM) támadás. A BiTM célja továbbra is a kliens és a szolgáltatás közötti adatfolyam kompromittálása, de ezt olyan módon valósítja meg, amely teljes kontrollt biztosít a támadó számára a böngésző működése felett.
A MitM támadások az alkalmazásréteg szintjén történő forgalom-átirányításra és lehallgatásra épülnek. Ezek során a támadó egy proxy szervert vagy hálózati eszközt telepít a kliens és a kiszolgáló közé, így a forgalmat átláthatja és akár módosíthatja is. Ezzel szemben a Browser-in-the-Middle egy más megközelítést alkalmaz. Nem a forgalom közé ékelődik, hanem a böngésző működését veszi át távolról. A felhasználó nem tudja, hogy amit saját gépén keresztül valósnak érzékel, az valójában egy távoli infrastruktúrán futó, átlátszó böngésző képe és funkcionalitása. A kommunikáció tehát nem csupán megfigyelhető, hanem teljes mértékben manipulálható a támadó részéről, mindenféle végponti kártevő nélkül.
A BiTM technika működése három fő támadási szakaszra bontható, amelyek együttesen biztosítják a támadó számára a hozzáférést és az irányítást:
Adathalász támadás: A támadás első lépése egy klasszikus phishing kampány, amelynek célja, hogy a felhasználót rávegye egy kártékony hivatkozásra történő kattintásra. Ez a hivatkozás a támadó által üzemeltetett szerverre vezet, amely webalkalmazásnak álcázza magát, jellemzően ismert szolgáltatások (pl. banki felületek, vállalati portálok) hamisított másolataként.
Transzparens böngésző beillesztése: Amint a felhasználó megnyitja a linket, a támadó csatlakoztatja őt egy távolról irányított, átlátszó böngészőhöz. Ez egy teljes értékű böngészőkörnyezetet szimulál, amelyet a támadó infrastruktúráján futtatnak (pl. headless Chrome vagy Puppeteer alapú megoldásokkal). A felhasználó azt érzékeli, hogy egy ismert oldalt használ, miközben valójában a támadó gépének böngészőjén keresztül lép interakcióba a webalkalmazással. A kapcsolat látszólag biztonságos (HTTPS), a tanúsítvány érvényes lehet, és a teljes böngészési élmény szinte megkülönböztethetetlen az eredetitől. A támadó azonban a böngésző teljes működését látja és vezérli, beleértve a begépelt adatokat, a hitelesítési lépéseket, a munkamenet-kezelést és az összes böngészési műveletet.
Webalkalmazások kompromittálása és adatlopás: A felhasználó, mit sem sejtve, bejelentkezik a célalkalmazásba – legyen az vállalati e-mail, pénzügyi szolgáltatás vagy távoli hozzáférési rendszer. A támadó képes valós idejű hitelesítési adatokat rögzíteni (pl. felhasználónév, jelszó, 2FA kód), a böngésző által generált vagy tárolt cookie-kat és tokeneket megszerezni és adott esetben a munkamenet alatt végzett tranzakciókat módosítani vagy ismételni.
A BiTM támadás egyik legkritikusabb pontja, hogy képes megkerülni a többfaktoros hitelesítési (MFA) rendszereket is. Ennek oka a session tokenek használata, amelyek az MFA sikeres végrehajtása után kerülnek létrehozásra, és lehetővé teszik a további interakciókat a rendszerrel. Ha a támadó hozzáfér a böngészőből kinyert tokenhez (pl. Set-Cookie vagy Authorization: Bearer mező értékeihez), akkor a hitelesítési folyamat megismétlése nélkül képes átvenni az áldozat aktív munkamenetét. Ezzel gyakorlatilag hitelesített státuszhoz jut, mintha maga az áldozat lenne, képes önálló tranzakciókat indítani a nevében és észrevétlenül folytathatja a munkamenetet bármely más eszközön.
A kutatók szerint ez a fajta token-exfiltráció extrém gyorsasággal történhet: a tokenek begyűjtése és továbbítása a támadó szerverre néhány másodperc alatt végbemehet, még a titkosított HTTPS kapcsolat előtt, amikor a token még tisztán elérhető a kliensoldalon.