Une nouvelle technique de phishing appelée attaque de navigateur dans le navigateur (BitB) peut être exploitée pour simuler une fenêtre de navigateur dans le navigateur afin d’usurper un domaine légitime, permettant ainsi de mettre en scène des attaques de phishing convaincantes.

Selon le testeur d’intrusion et chercheur en sécurité, la méthode tire parti des options d’authentification unique (SSO) tierces intégrées sur des sites Web tels que « Se connecter avec Google » (ou Facebook, Apple ou Microsoft ).

Alors que le comportement par défaut lorsqu’un utilisateur tente de se connecter via ces méthodes est d’être accueilli par une fenêtre contextuelle pour terminer le processus d’authentification, l’attaque BitB vise à reproduire l’ensemble de ce processus en utilisant un mélange de code HTML et CSS pour créer un fenêtre de navigateur entièrement fabriquée.

« Combinez la conception de la fenêtre avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et c’est fondamentalement impossible à distinguer », a déclaré breachtrace dans un article technique publié la semaine dernière. « JavaScript peut être facilement utilisé pour faire apparaître la fenêtre sur un lien ou un clic sur un bouton, sur le chargement de la page, etc. »

Bien que cette méthode facilite considérablement le montage de campagnes d’ingénierie sociale efficaces, il convient de noter que les victimes potentielles doivent être redirigées vers un domaine de phishing qui peut afficher une telle fausse fenêtre d’authentification pour la collecte d’informations d’identification.

« Mais une fois arrivé sur le site Web appartenant à l’attaquant, l’utilisateur sera à l’aise lorsqu’il saisira ses informations d’identification sur ce qui semble être le site Web légitime (parce que l’URL de confiance le dit) »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *