Les attaques de navigateur intégré imitant les pop-ups d'authentification sont désormais possibles

Les attaques de navigateur dans le navigateur (Browser in the Browser, BitB) sont désormais possibles, selon un chercheur en sécurité qui a conçu une nouvelle façon de faire croire aux gens qu'ils accèdent à de véritables fenêtres d'authentification.

Lorsque les gens entendent parler d'hameçonnage (phishing), ils imaginent des e-mails maladroits, généralement faciles à reconnaître. Mais il y a l'autre face du phishing, celle des sites Web vers lesquels les cybercriminels redirigent leurs victimes. Les faux sites Web font croire aux utilisateurs qu'ils sont au bon endroit. La plupart des utilisateurs avisés regardent l'URL dans le navigateur et remarquent que ce n'est pas la bonne, ce qui éveille immédiatement les soupçons.

Un chercheur en sécurité sous le nom de mr.d0x a trouvé un moyen de détourner les fenêtres contextuelles que nous obtenons habituellement lorsque nous utilisons d'autres services pour nous authentifier, tels que Google ou Facebook.

"Combinez la conception de la fenêtre avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et c'est fondamentalement indiscernable", a déclaré le chercheur. "Très peu de gens remarqueraient les légères différences entre les deux."

"JavaScript peut être facilement utilisé pour faire apparaître la fenêtre sur un lien ou un clic sur un bouton, sur le chargement de la page, etc. Et bien sûr, vous pouvez faire apparaître la fenêtre de manière visuellement attrayante grâce aux animations disponibles dans des bibliothèques telles que JQuery", a-t-il ajouté.

Sa démonstration va encore plus loin, puisqu'il a réussi à trouver un moyen d'afficher une URL personnalisée lorsqu'une souris la survole, renforçant ainsi l'illusion de légitimité. Le scénario est simple : la victime clique sur un lien de phishing et est redirigée vers un faux site web qui présente une fausse fenêtre d'authentification avec tous les signes d'une URL légitime.

Le phishing et l'ensemble de l'infrastructure évoluent parallèlement à toutes les autres menaces. Il devient de plus en plus difficile d'identifier visuellement les faux sites Web et les tentatives de phishing, c'est pourquoi une solution de sécurité qui empêche les utilisateurs d'accéder aux fausses URL devient obligatoire. Bitdefender Total Security offre les bons outils nécessaires pour rester en sécurité en ligne, et couvre également ce type de scénario.