2 min de lecture

Les attaques de navigateur intégré imitant les pop-ups d'authentification sont désormais possibles

Rémi VIRLOUVET

Septembre 19, 2022

Ad Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 90 jours
Les attaques de navigateur intégré imitant les pop-ups d'authentification sont désormais possibles

Les attaques de navigateur dans le navigateur (Browser in the Browser, BitB) sont désormais possibles, selon un chercheur en sécurité qui a conçu une nouvelle façon de faire croire aux gens qu'ils accèdent à de véritables fenêtres d'authentification.

Lorsque les gens entendent parler d'hameçonnage (phishing), ils imaginent des e-mails maladroits, généralement faciles à reconnaître. Mais il y a l'autre face du phishing, celle des sites Web vers lesquels les cybercriminels redirigent leurs victimes. Les faux sites Web font croire aux utilisateurs qu'ils sont au bon endroit. La plupart des utilisateurs avisés regardent l'URL dans le navigateur et remarquent que ce n'est pas la bonne, ce qui éveille immédiatement les soupçons.

Un chercheur en sécurité sous le nom de mr.d0x a trouvé un moyen de détourner les fenêtres contextuelles que nous obtenons habituellement lorsque nous utilisons d'autres services pour nous authentifier, tels que Google ou Facebook.

"Combinez la conception de la fenêtre avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et c'est fondamentalement indiscernable", a déclaré le chercheur. "Très peu de gens remarqueraient les légères différences entre les deux."
"JavaScript peut être facilement utilisé pour faire apparaître la fenêtre sur un lien ou un clic sur un bouton, sur le chargement de la page, etc. Et bien sûr, vous pouvez faire apparaître la fenêtre de manière visuellement attrayante grâce aux animations disponibles dans des bibliothèques telles que JQuery", a-t-il ajouté.

Sa démonstration va encore plus loin, puisqu'il a réussi à trouver un moyen d'afficher une URL personnalisée lorsqu'une souris la survole, renforçant ainsi l'illusion de légitimité. Le scénario est simple : la victime clique sur un lien de phishing et est redirigée vers un faux site web qui présente une fausse fenêtre d'authentification avec tous les signes d'une URL légitime.

Le phishing et l'ensemble de l'infrastructure évoluent parallèlement à toutes les autres menaces. Il devient de plus en plus difficile d'identifier visuellement les faux sites Web et les tentatives de phishing, c'est pourquoi une solution de sécurité qui empêche les utilisateurs d'accéder aux fausses URL devient obligatoire. Bitdefender Total Security offre les bons outils nécessaires pour rester en sécurité en ligne, et couvre également ce type de scénario.

tags


Auteur



Actualités

Les + populaires

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Août 11, 2021

4 min de lecture
Cinq conseils pour renforcer la sécurité de votre compte Apple

Cinq conseils pour renforcer la sécurité de votre compte Apple

Juillet 16, 2021

6 min de lecture
Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Juin 30, 2021

3 min de lecture
7 conseils de sécurité pour protéger votre mobile et vos données personnelles

7 conseils de sécurité pour protéger votre mobile et vos données personnelles

Juin 23, 2021

4 min de lecture
Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Mai 06, 2021

3 min de lecture
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

Août 17, 2020

2 min de lecture

FOLLOW US ON

SOCIAL MEDIA


Vous pourriez également aimer

Bitdefender déchiffre le ransomware LockerGoga Bitdefender déchiffre le ransomware LockerGoga
Rémi VIRLOUVET

Septembre 22, 2022

1 min de lecture
Un pirate publie des vidéos de GTA VI et prétend avoir volé le code source Un pirate publie des vidéos de GTA VI et prétend avoir volé le code source
Rémi VIRLOUVET

Septembre 20, 2022

2 min de lecture
Piratage des systèmes internes d'Uber par un adolescent Piratage des systèmes internes d'Uber par un adolescent
Rémi VIRLOUVET

Septembre 20, 2022

3 min de lecture