Il n’a jamais été aussi facile de tromper les gens pour qu’ils donnent leurs identifiants de connexion. Comme le montre une nouvelle boîte à outils de phishing, les fenêtres pop-up d’identification unique (SSO) sont incroyablement faciles à usurper dans Chrome, et l’URL d’une boîte de connexion peut ne pas indiquer si un site est vraiment légitime.
Vous savez que certains sites Web vous permettent de vous connecter en utilisant votre compte Google, Apple, Facebook ou Amazon ? Il s’agit d’une connexion SSO. Elle permet de gagner du temps, car elle réduit le nombre de noms d’utilisateur et de mots de passe dont vous devez vous souvenir.
Le problème est le suivant : les pirates peuvent parfaitement reproduire ces fenêtres SSO dans Chrome, jusqu’à l’URL. Un nouveau kit d’hameçonnage de dr.d0x, un chercheur en sécurité, comprend un modèle prêt à l’emploi que les pirates novices ou les « white hats » peuvent utiliser pour créer rapidement une fenêtre pop-up SSO convaincante. (D’autres modèles peuvent déjà circuler dans les cercles de pirates).
mr. d0x
Les pirates qui utilisent ces fausses fenêtres SSO les collent dans toutes sortes de sites Web. Un pirate peut vous envoyer un e-mail concernant votre compte Dropbox, par exemple, et vous demander de visiter un certain lien. Ce lien peut mener à une fausse page Web de Dropbox avec des options de connexion SSO pour Google, Apple et Facebook. Toutes les informations que vous saisissez dans ces faux champs SSO, comme votre identifiant Google, seront collectées par le pirate.
Bien sûr, les sites de vidéos pirates (et d’autres sites offrant des choses « gratuites ») sont peut-être la destination la plus courante de ces fenêtres SSO usurpées. Un pirate peut créer un site de vidéos pirates qui nécessite une connexion SSO, par exemple, obligeant ainsi les internautes à communiquer leurs identifiants Google ou Facebook.
Pour clarifier, dr.d0x n’a pas inventé le SSO ou l’exploit de phishing par navigateur dans le navigateur. Les pirates ont commencé à usurper les fenêtres de connexion SSO il y a plusieurs années. Ce kit de phishing montre simplement comment de tels exploits fonctionnent. En outre, les entreprises peuvent utiliser ce kit pour tester la capacité de leurs employés à repérer les tentatives de phishing.
Il peut être difficile d’éviter une attaque de phishing. Je vous suggère de commencer par installer un gestionnaire de mots de passe, qui peut souvent détecter les tentatives d’hameçonnage et vous aidera à utiliser des informations de connexion uniques pour chaque site web (ce qui réduit les dégâts d’une attaque de phishing réussie). Vous devriez également éviter d’ouvrir des liens dans des courriels ou des SMS, même s’ils ont l’air sérieux ou légitimes.
Source : mr.d0x via BleepingComputer
