La détection de ces phishing n'est pas facile et prouve que l'on n'est jamais trop prudent lorsqu'on vous demande vos identifiants de compte.
Une attaque de type "man-in-the-middle" (MITM) se compose d'une victime, d'un site web avec lequel la victime souhaite entrer en contact (comme une banque) et de l'attaquant. L'attaquant s'insère entre la victime et le site web ciblé dans le but de voler des informations personnelles telles que les identifiants de connexion ou les numéros de compte bancaire et de carte de crédit. Les MITM ont toujours été une stratégie de développement active pour les pirates.
L'une des variantes de ce type d'attaque est connue sous le nom de "man-in-the-browser" (MITB sur navigateur) : un logiciel malveillant infecte votre appareil et affiche une copie d'hameçonnage du site Web visé dans votre navigateur pour vous inciter à saisir vos informations de compte. Nous expliquons ces deux types d'attaques et leur fonctionnement plus en détail dans cet article de blog.
Mais il existe une troisième variante d'attaque "intermédiaire", qu'un chercheur en sécurité appelle "navigateur dans le navigateur". L'idée est qu'un pirate peut écrire un code JavaScript pour présenter une fenêtre pop-up qui est un autre hameçon pour vous inciter à saisir les informations de votre compte. Il est difficile de discerner s'il s'agit d'une fenêtre réelle - regardez la capture d'écran ci-dessous pour voir ce que je veux dire.
Crédit image : mr.d0x
Le seul moyen d'en être sûr est de déplacer la fenêtre pop-up - si les informations de la fenêtre disparaissent de l'écran principal du navigateur ou ne peuvent pas être déplacées du tout, il s'agit d'une fausse fenêtre pop-up qui en fait trop. Ce type de tromperie n'est pas vraiment nouveau : un autre chercheur en sécurité a publié quelque chose de similaire il y a trois ans dans ce qu'il a appelé l'attaque de la "barre d'inception". Ce leurre de phishing compte sur le fait que les utilisateurs font défiler la fausse popup qui cache ensuite la barre d'URL. C'est à ce moment que l'attaquant substitue une fausse barre d'URL pour gagner la confiance de l'utilisateur.
Il existe encore une autre variation sur le thème de l'intermédiaire, à savoir une série d'attaques de phishing visant les joueurs de Counter-Strike : Global Offensive. L'objectif est de voler les informations d'identification Steam d'une personne, qui peuvent être utilisées pour lancer d'autres attaques ou voler les actifs numériques affectés au compte de l'utilisateur. Ici, l'appât du phishing repose sur la construction d'une fausse boîte de discussion. Là encore, comme pour l'exploit du navigateur dans le navigateur, vous pouvez rapidement vous rendre compte qu'il s'agit d'un faux lorsque vous essayez de déplacer la fenêtre, ce qui montre qu'il ne s'agit pas d'une fenêtre pop-up légitime, mais plutôt d'une construction HTML qui sort de la fenêtre principale du navigateur.
Crédit image : Zscaler
La détection de ces phishing n'est pas facile et prouve que l'on n'est jamais trop prudent lorsqu'on vous demande les informations d'identification de votre compte. Une façon d'essayer d'arrêter ces attaques d'intermédiaires est d'utiliser un navigateur plus sûr qui bloque les popups inconnus, comme Avast Secure Browser.
Thomas Salomon, directeur de l'ingénierie de la plate-forme Avast, déclare : "Même au milieu de ces types de menaces, les utilisateurs d'Avast Secure Browser peuvent se sentir en sécurité. La solution anti-phishing d'Avast Secure Browser, leader sur le marché, permet d'éviter la grande majorité des attaques de phishing. Néanmoins, Avast travaille constamment à l'amélioration des solutions de sécurité qui permettent d'empêcher ces attaques de phishing de manière générique."