Une nouvelle variante de phishing a été observée ces derniers temps, le Browser in the Browser (BitB). C’est tout simplement une attaque visant à tromper les techniques de détection habituelles de l'humain en générant une fausse fenêtre à l’intérieur d’une vraie fenêtre.
Comprendre la technique BitB
En effet, la plupart du temps, la victime détecte une page de vol d’identifiants de phishing en vérifiant la légitimité de l’URL affichée dans la barre d’adresse de son navigateur. Le Browser in the Browser permet de déjouer cette technique de détection en la retournant contre l’utilisateur. La fausse fenêtre affichera une adresse légitime afin de lui donner confiance.
Explorer les tactiques BitB
Le pirate va donc générer cette fausse fenêtre comme s’il faisait du webdesign en utilisant du Javascript, du CSS et du HTML pour qu’elle ressemble au maximum à l’originale. Voyant une URL légitime sur la page de connexion, l’utilisateur va tomber dans le piège du pirate et livrer ses identifiants.
Défis et adaptations
Cette technique est encore perfectible, il n’est pas possible de sortir la fausse fenêtre de celle qui est réelle. Il est également impossible d’afficher la fausse fenêtre en plein écran ou encore de donner la possibilité à l’utilisateur de la redimensionner.
Cependant, il est possible pour le pirate de détecter directement le navigateur utilisé par sa cible et s’il est en light ou dark mode. Avec ces informations, le pirate va adapter sa fausse fenêtre pour la rendre plus cohérente.
Stratégies de défense contre BitB
Face à ce type d’attaque, il est important de communiquer pour que le browser in the browser ne reste pas inconnu. Former les employés à vérifier les liens qu’ils reçoivent par mail ainsi que de bien observer la nature des “pop-ups” de connexion.
L’arsenal anti-phishing “classique” reste de rigueur :
- Filtre anti-phishing
- MFA
- Proxy web
- Solution de sensibilisation contre le phishing
Points clés à retenir de la vidéo :
Vous apprendrez dans cette vidéo :
- Qu’est-ce que l’attaque Browser in the Browser ?
- À quoi ressemble la technique du “Browser in the Browser” à travers une démonstration.
- Comment faire de la prévention à propos du Browser in the Browser
- Quelles améliorations sont à craindre vis à vis de ces attaques