Votre panier est vide.
Certains articles de veille peuvent faire l'objet de traduction automatique.
Une nouvelle technique de phishing appelée attaque de navigateur dans le navigateur (BitB) peut être exploitée pour simuler une fenêtre de navigateur dans le navigateur afin d’usurper un domaine légitime, permettant ainsi de mettre en scène des attaques de phishing convaincantes.
Selon le testeur d’intrusion et chercheur en sécurité, qui passe par le pseudonyme mrd0x_, la méthode tire parti de l’authentification unique tierce (authentification unique) des options intégrées sur des sites Web telles que « Se connecter avec Google » (ou Facebook, Apple ou Microsoft).
Alors que le comportement par défaut lorsqu’un utilisateur tente de se connecter via ces méthodes est d’être accueilli par une fenêtre contextuelle pour terminer le processus d’authentification, l’attaque BitB vise à reproduire l’ensemble de ce processus en utilisant un mélange de code HTML et CSS pour créer un fenêtre de navigateur entièrement fabriquée.
« Combinez la conception de la fenêtre avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et c’est fondamentalement impossible à distinguer », mrd0x_ mentionné dans un article technique publié la semaine dernière. « JavaScript peut être facilement utilisé pour faire apparaître la fenêtre sur un lien ou un clic sur un bouton, sur le chargement de la page, etc. »
Bien que cette méthode facilite considérablement le montage efficace campagnes d’ingénierie socialeil convient de noter que les victimes potentielles doivent être redirigées vers un domaine de phishing capable d’afficher une telle fausse fenêtre d’authentification pour la collecte d’informations d’identification.
« Mais une fois arrivé sur le site Web appartenant à l’attaquant, l’utilisateur sera à l’aise lorsqu’il saisira ses informations d’identification sur ce qui semble être le site Web légitime (parce que l’URL de confiance le dit) », a ajouté mrd0x_.
Voir aussi :
Poster un commentaire