Name: Tremplin Numérique
Price range: $$$

Inciter les gens à remettre leurs identifiants de connexion n’a jamais été aussi facile. Comme le montre une nouvelle boîte à outils de phishing, les fenêtres contextuelles d’authentification unique (SSO) sont incroyablement faciles à usurper dans Chrome, et l’URL d’une boîte de connexion peut ne pas indiquer si un site est vraiment légitime.

Vous savez comment certains sites Web vous permettent de vous connecter à l’aide de votre compte Google, Apple, Facebook ou Amazon ? C’est une connexion SSO – c’est un gain de temps précieux, car cela réduit le nombre de noms d’utilisateur et de mots de passe dont vous devez vous souvenir.

Voici le problème; les pirates peuvent parfaitement répliquer ces fenêtres SSO dans Chrome, même jusqu’à l’URL. Un nouveau kit de phishing de dr.d0x, un chercheur en sécurité, comprend un modèle prêt à l’emploi que les pirates novices ou les white hats peuvent utiliser pour créer rapidement une fenêtre contextuelle SSO convaincante. (D’autres modèles peuvent déjà flotter dans les cercles de piratage.)

Une vraie fenêtre de connexion de navigateur dans le navigateur Facebook à côté d'une fausse. Ils semblent identiques, même jusqu'à l'URL.

Les pirates qui utilisent ces fausses fenêtres SSO les colleront sur toutes sortes de sites Web. Un pirate peut vous envoyer un e-mail concernant votre compte Dropbox, par exemple, et vous dire de visiter un certain lien. Ce lien pourrait diriger vers une fausse page Web Dropbox avec des options de connexion SSO pour Google, Apple et Facebook. Toutes les informations que vous entrez dans ces fausses boîtes SSO, comme votre identifiant Google, seront collectées par le pirate.

Bien sûr, les sites Web de vidéos pirates (et d’autres sites proposant des contenus « gratuits ») peuvent être la destination la plus courante pour ces fenêtres SSO usurpées. Un pirate informatique peut créer un site Web de vidéo pirate qui nécessite une connexion SSO, par exemple, obligeant ainsi les gens à remettre leurs informations d’identification Google ou Facebook.

Pour clarifier, dr.d0x n’a pas inventé l’exploit de phishing SSO ou browser-in-browser. Les pirates ont commencé à usurper les fenêtres de connexion SSO il y a plusieurs années. Ce kit de phishing montre simplement comment fonctionnent ces exploits. De plus, les entreprises peuvent utiliser ce kit pour tester la capacité de leurs employés à repérer les stratagèmes de phishing.

Éviter une attaque de phishing peut être difficile. Je vous suggère de commencer par installer un gestionnaire de mots de passe, qui peut souvent détecter les tentatives de phishing et vous aidera à utiliser des informations de connexion uniques pour chaque site Web (ce qui réduit les dommages causés par une attaque de phishing réussie). Vous devez également éviter d’ouvrir des liens dans des e-mails ou des SMS, même s’ils semblent sérieux ou légitimes.

Source : mr.d0x via BleepingComputer