Accueil > Buzz > Hackers: un nouveau type d’attaque de phishing

Hackers: un nouveau type d’attaque de phishing

Jusqu’à présent les attaques de type phishing essayaient ouvertement de vous faire prendre des vessies pour des lanternes, en affichant un clone de la page que vous espériez atteindre, à partir d’une adresse URL similaire à une vrai adresse.

Ce qui est maintenant nouveau, c’est que ce type d’attaque peut être réalisée à votre insu, pendant votre navigation, entre différents onglets de votre navigateur.

Une attaque bien préparée…

  1. L’utilisateur navigue sur une page d’un site, d’apparence normale et inoffensive.
  2. Un script détecte lorsque la page à perdue le focus et n’a pas été utilisée depuis un certain temps – l’utilisateur est passé sur un autre onglet..
  3. Le script remplace alors l’icône du site (favicon) par une icône familière, par exemple Gmail, change le titre de l’onglet  en “Gmail: la messagerie de Google”, et le contenu de la page est changé en une copie de la page de connexion de Gmail.
  4. Pour rendre encore plus insoupçonnable l’attaque, la fausse page utilise par exemple un nom de domaine similaire  (Unicode domain names).
  5. Comme l’utilisateur navigue dans d’autres onglet, il ne se méfiera pas lorsqu’il verra un onglet familier comme Gmail, qu’il pensera avoir ouvert précédemment.
  6. Une fois que l’utilisateur a saisi son login et mot de passe, il est redirigé vers le vrai Gmail. Et comme il était probablement déjà connecté, il lui semble que la connexion à été réussie et ne se rend compte de rien.

    Ce type d’attaque de phishing à même un nom : “tabnabbing“.

    A New Type of Phishing Attack from Aza Raskin on Vimeo.

    Essayez voir…

    Vous pouvez tester – à blanc – ce type d’attaque chez Azarask

    Sortez couverts… :-)

    1. 27/05/2010 à 23:21 | #1

      ça fait flipper !

      Mais bon, après le test à blanc sur le site proposé, on voit bien l’URL qui ne change pas donc bon faut soit être inattentif soit être un peu bête mais, selon moi, ça va faire très mal vu la naïveté des gens …

    1. Pas encore de trackbacks