Étude de cas - Phishing avec l'attaque Browser In The Browser

Aujourd'hui j'aimerais vous parler d'une attaque de phishing particulièrement fourbe, j'ai nommé l'attaque Browser In The Browser.

Imaginée par mr.d0x, un pentester et chercheur en sécurité, cette attaque vise à duper l'utilisateur sur l'élément qui lui paraît être le plus sûr : l'URL.

Le Single Sign One comme vecteur d'attaque

Tout d'abord, si vous ne savez pas ce qu'est un Single Sign One (SSO), je vous invite à lire cet article.

Très souvent, lorsque vous essayez d'accéder à un service, vous avez la possibilité de vous connecter avec votre compte Google, Microsft, Apple, Github, etc.

Cette connexion va ouvrir une pop-up qui vous redirige vers le service de connexion choisi

Et c'est là que le bât blesse car répliquer entièrement cette fenêtre en utilisant du HTML et du CSS est simple et basique.

Il suffit de combiner cette fausse fenêtre avec une iFrame qui pointe vers un serveur malicieux contenant une page de phishing et c'est quasiment indétectable !

Avec l'ajout de Javascript, il est même possible de faire apparaître cette fenêtre au clic, de pouvoir la déplacer grâce au Drag & Drop (cliquer-déplacer) et même d'y ajouter les bonnes animations afin d'être le plus fidèle possible.

Ainsi, n'importe quel utilisateur même le plus aguérri aurait du mal à faire la différence entre la véritable fenêtre et la fausse.

Comment éviter de se faire piéger ?

Les deux seules techniques que je vois sont les suivantes :

• Déplacer la fenêtre en dehors du navigateur car vu que la fenêtre est codée, elle ne peut pas sortir en dehors de ce dernier
• Maximiser la fenêtre en plein écran ; si la fenêtre reste dans le cadre du navigateur, c'est que la mire de login est falsifiée.

Bref, restez attentif carles attaquants regorgent d'ingéniosité !

Source : mr.d0x

💌 Vous aimez l'article que vous avez lu ?

Pensez à vous inscrire et découvrez d'autres articles seulement visibles pour la communauté ! Et en bonus, un nouvel article chaque dimanche ! 😀