Ce phishing de Google Chrome est pratiquement indétectable : c’est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

Ce phishing de Google Chrome est pratiquement indétectable : c'est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

La technique de phishing « Browser In The Browser » est dangereuse et difficile à détecter, mais vous pouvez vous en protéger.

Le chercheur en cybersécurité mr.d0x a découvert une nouvelle méthode que les attaquants pourraient utiliser pour tenter de voler les identifiants de connexion des utilisateurs, accédant ainsi à des informations sensibles telles que le contenu de leurs comptes Google ou Facebook.

Cette attaque a été appelée « Browser In The Browser » ou BITB, et consiste à simuler une fenêtre de connexion unique –SSO–, comme celle que proposent de nombreux sites Web pour accéder aux profils d’utilisateurs à l’aide de comptes Google, Facebook, Twitter ou Apple, entre autres. les autres.

Ce phishing de Google Chrome est pratiquement indétectable : c'est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

Les attaques de phishing sont parmi les plus utilisées pour tenter de voler les données des utilisateurs sur Internet.

Qu’est-ce que « Browser In The Browser », une technique de phishing nouvelle et sophistiquée

Il est très courant de voir comment certaines pages Web ou applications offrent la possibilité de se connecter avec notre compte Google, Microsoft, Facebook ou Apple. Lorsque vous choisissez l’une des options, une fenêtre contextuelle s’ouvre, nous permettant de saisir nos informations d’identification d’utilisateur pour accéder à ladite plate-forme ou à ce site Web.

La plupart des navigateurs modernes, comme Google Chrome, fournissent des mécanismes de sécurité qui sécurisent ce type de connexion. parmi eux, on peut en trouver tels que la politique de sécurité du contenu ou la politique de même origine.

Et, bien que différentes techniques aient été essayées pour compromettre ce type de mécanismes de sécurité, Browser In The Browser va encore plus loin, puisque l’attaque crée une toute nouvelle fenêtre de navigateur, qui comprend tous les éléments que l’on peut s’attendre à voir dans une fenêtre sécurisée , comme les icônes ou l’URL. Mais en réalité, l’utilisateur saisit ses identifiants de connexion dans une fausse fenêtre.

Ce phishing de Google Chrome est pratiquement indétectable : c'est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

Une fenêtre de connexion manquante et une vraie, fondamentalement indiscernables.

Fabriquer l’attaque est relativement simple. En fait, mr.d0x prétend avoir été capable de reproduire la disposition de la fenêtre du navigateur en utilisant du code HTML et CSS de base. Malgré cela, la fenêtre est pratiquement impossible à distinguer d’une fenêtre réelle et fiable. Dans l’image animée sous ces lignes, vous pouvez voir son fonctionnement plus en détail :

Ce phishing de Google Chrome est pratiquement indétectable : c'est ainsi que vous pouvez vous protéger du navigateur dans le navigateur

Une attaque utilisant la technique Browser In The Browser en temps réel.

De plus, le pirate a partagé des exemples de mise en œuvre de ce type d’attaque sur GitHub.

Comment éviter ce type d’attaque ?

Bien que, apparemment, il s’agisse d’une technique de phishing très efficace lorsqu’il s’agit de voler les informations d’identification des utilisateurs, mr.d0x lui-même déclare que, pour fonctionner, les victimes devraient d’abord pouvoir visiter un site Web compromis et décider de se connecter . Il a également la limitation que l’attaque n’agirait que sur les navigateurs de bureau, et n’affecterait donc pas les versions mobiles d’iOS ou d’Android.

L’attaque pourrait également être contournée en utilisant un gestionnaire de mots de passe avec la possibilité de compléter automatiquement les champs de texte des informations d’identification, car ce logiciel ne fonctionnerait pas dans une fausse fenêtre de navigateur.

De même, l’utilisation d’un système de vérification en deux étapes peut éviter de nombreux problèmes, car même si nous avons partagé nos informations d’identification avec un attaquant supposé, il devrait toujours avoir accès au code de vérification pour accéder au compte.

Rubriques connexes : Google Chrome