Si vous êtes particulièrement méfiant, vous pouvez repérer une fausse fenêtre de navigateur conçue pour vous faire croire que c’est la page de connexion dont vous avez besoin. La page peut ne pas se charger correctement, ou les graphiques peuvent sembler subtilement modifiés – ou l’URL semble incorrecte, ce qui devrait immédiatement signaler tout ce qui est suspect. Les conseils liés à l’URL pour vous aider éviter de se faire hameçonner n’est peut-être plus aussi fort qu’avant, malheureusement. Un chercheur a récemment développé une nouvelle forme de rendu des fenêtres de connexion contextuelles qui pourrait facilement tromper même les utilisateurs soucieux de la sécurité en leur faisant croire qu’ils donnent leurs données privées à un site légitime.
C’est ce qu’on appelle l’attaque du navigateur dans le navigateur (BitB) – et les rapports du Registre cela a commencé lorsqu’un chercheur s’est demandé s’il était possible de rendre les conseils de sécurité généralement solides pour simplement « vérifier l’URL » peu fiables. Pour Chrome utilisateurs, la réponse à cette question est oui. Le problème peut survenir lorsque vous vous connectez à n’importe quoi en utilisant des protocoles de sécurité qui offrent une authentification Google, Microsoft ou Apple via des fenêtres contextuelles. À l’heure actuelle, ces petites fenêtres sont omniprésentes et quiconque pense même à vérifier les liens dans la barre d’adresse remarquera si cela ne semble pas légitime.
Le chercheur qui a illustré comment construire un leurre de phishing avec BitB dit Bleeping Computer que les modèles utilisés pour effectuer une attaque BitB peuvent créer des fenêtres Chrome qui ressemblent à des connexions tout à fait normales, y compris les URL. C’est le gros avantage de cette méthode et elle est susceptible de rendre le phishing beaucoup trop facile à accomplir pour quelqu’un qui veut le faire. Mais il existe des outils qui le contournent, y compris les gestionnaires de mots de passe comme LastPass, qui ne rempliront pas automatiquement les données de connexion car BitB ne rend pas les formulaires réels. De plus, une victime de phishing doit suivre tout ce qui l’attire sur le site malveillant en premier lieu. Si vous voulez vous assurer qu’une attaque BitB furtive ne vous piège pas, prenez un moment et réfléchissez avant d’essayer de suivre les liens inattendus ou non sollicités trouvés dans les e-mails et les textes.
Lire la suite
À propos de l’auteur