Il existe une nouvelle façon de voler vos mots de passe et autres informations vitales, et c’est tellement bien fait que la plupart des gens tomberaient dans le piège.
Un hacker pseudonyme appelé « mr.d0x » a publié la semaine dernière un article de blog détaillant une très bonne attaque « navigateur dans le navigateur » dans laquelle un attaquant crée une fausse fenêtre de connexion contextuelle dans une page Web.
La « fenêtre » n’est pas vraiment une fenêtre contextuelle, mais plutôt une partie de la page Web sous-jacente. Cependant, mr.d0x l’a configuré pour que vous puissiez réellement « saisir » la fenêtre contextuelle et la déplacer en cliquant sur la barre de titre avec le curseur de votre souris.
C’est assez convaincant, même si vous ne pourrez peut-être pas redimensionner la fausse fenêtre ou la faire défiler, et vous ne pourrez certainement pas la faire glisser au-delà du bord de la fenêtre de la page Web sous-jacente.
Néanmoins, la plupart des gens seront dupes. Le faux pop-up peut imiter parfaitement une page de connexion Apple, Facebook, Google ou Microsoft, jusqu’à une icône dans la barre de titre et une URL dans la barre d’adresse.
Comment éviter d’être dupé par une fausse fenêtre pop-up
Pour éviter de tomber dans le piège de cette nouvelle attaque, votre meilleure défense est d’utiliser l’un des meilleurs gestionnaires de mots de passe, qui ne se laissera pas berner par un faux site Web.
Comme mentionné ci-dessus, si vous utilisez un navigateur de bureau, vous pouvez également essayer de redimensionner ou de faire défiler la fenêtre contextuelle, bien qu’il soit possible qu’un bon JavaScript puisse reproduire ces actions.
Si tel est le cas, essayez de faire glisser la fenêtre contextuelle au-delà du bord de la fenêtre principale du navigateur. Si la fenêtre contextuelle ne répond pas correctement, c’est qu’elle est fausse. Mais cela peut être difficile à faire sur un navigateur mobile.
Des pop-up parfaits
De fausses attaques contextuelles ont déjà été tentées, mais elles ont généralement semblé terribles – pas si mr.d0x. Cette nouvelle attaque tire parti du fait que de nombreux sites Web utilisent des services de « single sign on » (SSO), grâce auxquels vous pouvez vous connecter à un site Web avec un nom d’utilisateur et un mot de passe tiers au lieu d’avoir à créer un autre compte et un autre mot de passe.
Apple, Facebook, Google, Microsoft et d’autres fournissent des services SSO pour des milliers de sites Web destinés aux consommateurs. De nombreuses entreprises et autres grandes organisations utilisent des systèmes SSO internes pour se connecter à des sites et services liés à l’entreprise.
L’utilisation de connexions SSO réduit considérablement le nombre de pages de connexion que vous devez falsifier. Cela rend également les mots de passe que vous capturez beaucoup plus précieux. Si vous êtes un criminel, vous pouvez faire beaucoup plus avec le mot de passe de quelqu’un pour Facebook qu’avec un mot de passe pour le site Web de Billy Bob’s Bar and Restaurant Supply.
« Reproduire l’intégralité de la conception de la fenêtre à l’aide de HTML/CSS de base est assez simple », a écrit mr.d0x dans le billet de blog de la semaine dernière. « Combinez la conception de la fenêtre avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et c’est fondamentalement impossible à distinguer. »
Tout le monde peut le faire, y compris les méchants
À cette fin, mr.d0x a créé des modèles faciles à utiliser qui imitent les pages SSO sur Google Chrome sur Mac et Windows, et en mode clair et sombre. Si vous souhaitez vous y essayer, les modèles sont disponibles sur GitHub.
Maintenant, pourquoi, vous demanderez-vous peut-être, quelqu’un rendrait-il des armes aussi puissantes librement disponibles ? Selon la biographie en ligne fournie, mr.d0x est un testeur d’intrusion, quelqu’un qui est payé pour tester les systèmes de sécurité des entreprises en y pénétrant.
Ces modèles de « navigateur dans le navigateur » sont extrêmement utiles pour les testeurs de plumes, même s’ils peuvent donner des connivences aux administrateurs de sites Web.
Malheureusement pour le reste d’entre nous, mr.d0x vient de créer un moyen très efficace de hameçonner les mots de passe Apple, Facebook, Google ou Microsoft de quelqu’un. Tout ce qu’un escroc a à faire est d’utiliser le modèle et de créer une page de phishing, ce qui est facile à faire, puis d’attirer les gens avec des e-mails, des SMS ou des publications sur les réseaux sociaux malveillants.