Qu’est-ce qu’une attaque de navigateur dans le navigateur ? Les traits clés à connaître

Récemment, une nouvelle façon de voler les informations de connexion à Facebook a été découverte : des pirates informatiques utilisent de fausses fenêtres dans votre navigateur pour imiter des fenêtres contextuelles légitimes pour la connexion. Appelée attaque de navigateur dans le navigateur (BitB), cette forme de phishing donne une nouvelle tournure à un hack de longue date.

Documenté pour la première fois par l’expert en sécurité mr.d0x en 2022, ce style d’attaque implique un site Web compromis ou faux générant ce qui semble être une fenêtre de connexion. Au lieu de cela, il s’agit en fait d’un élément généré dans l’onglet du navigateur existant, conçu pour ressembler à une fenêtre de connexion réaliste au service, complétée par un affichage falsifié (visuellement truqué) de l’adresse Web de connexion légitime. Si un utilisateur soumet ensuite ses informations d’identification via le formulaire, un acteur malveillant peut prendre le contrôle du compte ou collecter les données pour les vendre ou les utiliser pour de futures attaques.

Étant donné que les attaques BitB n’ont pris de l’ampleur qu’au cours des six derniers mois et qu’elles imitent si fidèlement des détails authentiques comme une URL légitime dans une barre d’adresse et même des tests CAPTCHA, elles peuvent être difficiles à repérer immédiatement. Bon sang, je couvre ce sujet, et d’un simple coup d’œil, la fausse fenêtre contextuelle de connexion semble assez réelle. Le cadeau dans l’exemple de capture d’écran se trouve en fait dans l’URL de la fenêtre principale.

Alors comment éviter de tomber dans ce piège ? Quelques pistes, quelques conseils de sécurité déjà familiers :

• Connectez-vous toujours directement à un site Web. Accédez vous-même à la page de connexion, dans un nouvel onglet de navigateur.
• La fenêtre ne quittera pas les limites de l’onglet de votre navigateur. Il s’agit de la méthode de filtrage la plus simple : vous essayez de déplacer la « fenêtre » contextuelle en dehors de l’onglet du navigateur. S’il s’agit bien d’une deuxième fenêtre, vous pourrez séparer les deux. (Vous pouvez également vérifier votre barre des tâches Windows pour confirmer.)
• Utilisez un gestionnaire de mots de passe. Ces services proposeront uniquement de renseigner vos informations d’identification sur les sites Web qui correspondent à celles enregistrées avec votre mot de passe.
• Activez l’authentification à deux facteurs. Si jamais vous êtes trompé par une attaque de phishing, ce deuxième point de contrôle de connexion peut parfois empêcher un mauvais acteur de voler votre compte. (Ce n’est cependant pas une garantie, car les sites de phishing peuvent également utiliser avec succès les codes 2FA si vous en partagez un accidentellement.)
• Utilisez des mots de passe autant que possible. Les clés d’accès présentent un double avantage. Premièrement, ils sont liés au site Web pour lequel ils ont été créés, donc même si vous essayez d’en utiliser un avec un faux site, cela ne fonctionnera pas. Deuxièmement, ils peuvent vous aider à signaler que vous êtes sur une fausse page, si elle ne vous offre pas la possibilité de vous connecter avec votre mot de passe. (Malheureusement, Facebook autorise uniquement les connexions par mot de passe sur mobile, cela ne s’appliquerait donc pas à cette dernière attaque.)

Parmi ces conseils, déplacer une fenêtre contextuelle pour voir si elle peut être séparée de l’onglet d’origine du navigateur est une nouvelle habitude à développer – encore une autre chose à retenir dans les méthodologies en constante évolution utilisées par les attaquants. Mon conseil ? Il est plus simple de toujours vous connecter à un site en utilisant les onglets du navigateur et les fenêtres que vous avez ouvertes vous-même, à l’aide d’un mot de passe. Pour la plupart des gens, cela signifie moins de stratégies spécifiques à mémoriser, même si vous restez au courant des dernières nouvelles.