PG Software - Votre distributeur IT

Blog

Attaque 'browser-in-the-browser' (BitB)

Les cybercriminels proposent toujours de nouvelles astuces pour tromper les utilisateurs lorsqu’ils recherchent les mots de passe, les clés secrètes et d’autres informations importantes des personnes. Peu importe à quel point ces escroqueries sont intelligentes, il est important de se rappeler qu’elles visent souvent les personnes qui baissent leur garde. Vous ne serez pas victime d’hameçonnage (phishing) si vous prêtez une attention particulière à quelques faits, le plus important étant l’URL du site Web sur lequel vous êtes invité à saisir vos informations de connexion.

C’est pratiquement le cas partout. Aujourd’hui, cependant, nous voulons discuter d’une agression qui fonctionne différemment et trompe la victime en lui faisant croire qu’elle est sûre et légitime. Allons-y étape par étape.

Pourquoi trouvons-nous des erreurs dans les adresses des sites d’hameçonnage ?

Les adresses de domaine que vous voyez dans la barre d’adresse sont toutes distinctes et sont constamment associées à leur propriétaire. Pour enregistrer un nom de domaine, une personne doit d’abord entrer en contact avec une certaine entreprise. Pour s’assurer que l’adresse n’est pas déjà prise, elle effectue une recherche sur une base de données mondiales. Puis, le demandeur la reçoit si elle est disponible.

En conséquence, il est difficile d’enregistrer un site Web fictif avec la même adresse qu’un site réel. Cependant, en sélectionnant une zone de domaine comparable, il est extrêmement possible de créer un domaine assez similaire à celui de quelqu’un d’autre. Pour cette raison, des individus intelligents ont proposé le concept de simuler une fenêtre de navigateur avec l’URL d’un site Web réputé, affiché sur une page plutôt que d’enregistrer des domaines.

 

Qu’est-ce qu’une attaque Browser-in-the-Browser ?

Les attaques utilisant une simulation de fenêtre de navigateur à l’intérieur du navigateur sont connues sous le nom d’usurpation de “navigateur dans le navigateur”. La fonctionnalité d’authentification unique (SSO) proposée par des tiers, de plus en plus populaire pour les utilisateurs qui se connectent à plusieurs sites Web, est exploitée par l’assaut. L’idée sous-jacente est assez simple: Lorsqu’un utilisateur accède à un site Web, une nouvelle fenêtre de navigateur qui demande des informations de connexion à Google, Apple, Microsoft ou à d’autres tiers apparaît. L’utilisateur bénéficie de ne pas avoir à se souvenir ou à utiliser un mot de passe différent pour accéder au site Web.

En réponse, l’attaque de BITE est utilisée. Cette dernière consiste à servir à l’utilisateur une fausse fenêtre contextuelle qui demande son mot de passe SSO. La principale distinction par rapport à une situation d’hameçonnage typique est qu’en plus d’ouvrir cette fenêtre, elle peut également afficher n’importe quelle URL, y compris une URL authentique.

L’astuce est efficace. Les gens sont maintenant tellement habitués à cette approche d’authentification qu’ils ne la remarquent même plus et ne font que saisir leurs informations de connexion.

Comment savoir qu’une page de connexion est fausse ?

Il existe des techniques pour repérer la fausse fenêtre de connexion, même si elle n’a rien qui se démarque comme étant clairement frauduleux.

Les fenêtres de connexion réelles se comportent comme des fenêtres de navigateur et fonctionnent comme telles. Elles peuvent être déplacées autour de l’écran, maximisées et minimisées. Les fausses fenêtres contextuelles sont liées à la page sur laquelle elles apparaissent. Elles peuvent également se déplacer et masquer les images et les boutons tant qu’elles restent à l’intérieur de leurs frontières définies, qui est la fenêtre du navigateur. Elles sont incapables de la quitter. Cette distinction devrait les rendre plus faciles à identifier.

Pour vérifier si le formulaire de connexion est authentique :

  • Réduisez la taille de l’onglet du navigateur dans lequel le formulaire s’ouvre. C’est un faux si le formulaire de connexion disparaît également alors qu’il devrait être dans une fenêtre différente. L’écran devrait toujours afficher une fenêtre légitime.

  • Essayez de déplacer la fenêtre de connexion en dehors du cadre de la fenêtre parent. Contrairement à une fausse fenêtre, une vraie est simple à ouvrir.

Vous ne devez pas soumettre vos informations d’identification si la fenêtre contenant le formulaire de connexion agit étrangement, par exemple en minimisant avec une autre fenêtre, en s’arrêtant sous la barre d’adresse ou en disparaissant sous celle-ci.

Existe-t-il un moyen facile de se protéger de cette attaque ?

L’attaque n’est pas aussi dangereuse qu’il n’y paraît au départ. Même s’il peut être difficile pour les humains de reconnaître une attaque navigateur dans navigateur, votre ordinateur peut toujours vous aider. L’adresse réelle, qui est ce qui compte pour une solution de sécurité, reste la même quel que soit ce qui est programmé sur un site nuisible.

  • Utilisez un gestionnaire de mots de passe pour chaque compte. Malgré le fait qu’un site Web puisse sembler authentique, cet outil analyse l’adresse de la page avant de vous permettre de saisir vos informations d’identification.

  • Installez un programme de sécurité fiable comprenant un module anti-hameçonnage. Cette solution analyse l’URL pour vous et vous avertit immédiatement si une page est risquée.

N’oubliez pas d’utiliser l’authentification multifactorielle , bien sûr. Partout où vous avez le choix, activez-la, y compris sur les réseaux sociaux. Un code unique vous sera alors remis, et non aux attaquants, les empêchant d’accéder à votre compte même s’ils parviennent à voler vos informations de connexion.

Visitez notre web site pour en savoir plus sur nos produits et sur les avantages que ManageEngine peut apporter à votre organisation. Nous sommes réputés pour la création des applications de gestion et de sécurité informatique performantes. Découvrez les solutions dont vous avez besoin pour gérer et protéger votre infrastructure informatique en explorant nos plus de 50 produits primés. Visitez cette page sur notre site web pour voir tous nos produits. Nous proposons des essais gratuits de 30 jours avec accès à toutes les fonctionnalités premium pour les offres sur site, cloud public et cloud privé.