Hacktu Magazine Le magazine de la cybersécurité
Dans un billet de blog, le chercheur en sécurité « mr.d0x » a une nouvelle technique de phishing qui simule une fenêtre de navigateur dans le navigateur pour usurper un domaine légitime.
La technique dite browser-in-the-browser exploite les options d’authentification Single Sign On (SSO) intégrées sur des sites Web tels que « Se connecter avec Google » (ou Facebook, Apple ou Microsoft ), permettant à un utilisateur d’accéder à plusieurs applications en ne procédant qu’à une seule authentification.
En effet, lorsque nous nous authentifions sur un site Web via Google, Microsoft, Apple, etc., une fenêtre contextuelle apparait et nous demande de nous authentifier. Le BITB consiste à créer une copie parfaite de cette fenêtre contextuelle et l’intégrer dans une iframe pointant vers le serveur malveillant hébergeant la page de phishing, afin de piéger la victime. Cette technique présente l’avantage de ne pas modifier l’URL et rend totalement inefficace les méthode classiques de détection des phishing, tel que la vérification de l’orthographe dans l’URL, le petit cadenas sur le navigateur, etc.
Un survol de la fenêtre malicieuse pourrait laisser apparaitre le véritable lien véritable vers lequel elle pointe, en l’occurrence le site phishing, mais quelques lignes de JavaScript peuvent facilement permettre de masquer le lien et continuer d’afficher le site légitime référencé dans la balise « <a href= »https://xxxx.com » »xxxxxx</a>.
Bien sûr cette technique présente des limites, mais elle ouvre encore plus le champs des possibilités pour la réalisation de phishing de plus en plus réalistes et difficiles à détecter. Par ailleurs, cette approche rappelle nécessité de repenser les mécanismes de défense et les conseils donnés aux utilisateurs pour identifier les pages de phishing, basés essentiellement sur la confiance en l’URL.
