Des chercheurs de la société de renseignements sur les menaces Group-IB viennent d'écrire un article intrigant histoire vécue à propos d'une astuce de phishing simple mais étonnamment efficace connue sous le nom de BitB, court pour navigateur dans le navigateur.
Vous avez probablement déjà entendu parler de plusieurs types d'attaques X-in-the-Y, notamment MitM ainsi que MitB, court pour manipulateur-du-milieu ainsi que manipulateur-dans-le-navigateur.
Dans une attaque MitM, les attaquants qui veulent vous tromper se positionnent quelque part « au milieu » du réseau, entre votre ordinateur et le serveur que vous essayez d'atteindre.
(Ils ne sont peut-être pas littéralement au milieu, que ce soit géographiquement ou en termes de sauts, mais les attaquants MitM sont quelque part le long de la route, pas juste à chaque extrémité.)
L'idée est qu'au lieu d'avoir à pénétrer dans votre ordinateur ou dans le serveur à l'autre bout, ils vous incitent à vous connecter à eux à la place (ou manipulent délibérément votre chemin réseau, que vous ne pouvez pas contrôler facilement une fois que vos paquets sortent de votre propre routeur), puis ils prétendent être l'autre extrémité - un proxy malveillant, si vous voulez.
Ils transmettent vos paquets à la destination officielle, les espionnant et peut-être les tripotant en chemin, puis reçoivent les réponses officielles, qu'ils peuvent espionner et modifier une seconde fois, et vous les renvoyer comme si vous ' d connecté de bout en bout comme prévu.
Si vous n'utilisez pas un cryptage de bout en bout tel que HTTPS afin de protéger à la fois la confidentialité (pas d'espionnage !) et l'intégrité (pas de falsification !) du trafic, il est peu probable que vous remarquiez, ou même que vous puissiez détectez que quelqu'un d'autre a ouvert à la vapeur vos lettres numériques en transit, puis les scelle à nouveau par la suite.
Attaquer d'un côté
A MitB attaque vise à fonctionner de manière similaire, mais pour contourner le problème causé par HTTPS, ce qui rend une attaque MitM beaucoup plus difficile.
Les attaquants MitM ne peuvent pas facilement interférer avec le trafic chiffré avec HTTPS : ils ne peuvent pas espionner vos données, car ils ne disposent pas des clés cryptographiques utilisées par chaque extrémité pour les protéger ; ils ne peuvent pas modifier les données chiffrées, car la vérification cryptographique à chaque extrémité donnerait alors l'alerte ; et ils ne peuvent pas prétendre être le serveur auquel vous vous connectez car ils n'ont pas le secret cryptographique que le serveur utilise pour prouver son identité.
Une attaque MitB repose donc généralement sur l'introduction furtive de logiciels malveillants sur votre ordinateur en premier.
C'est généralement plus difficile que de simplement puiser dans le réseau à un moment donné, mais cela donne aux attaquants un énorme avantage s'ils peuvent le gérer.
En effet, s'ils peuvent s'insérer directement dans votre navigateur, ils peuvent voir et modifier votre trafic réseau avant que votre navigateur ne le chiffre pour l'envoi, qui annule toute protection HTTPS sortante, et après que votre navigateur l'ait déchiffré sur le chemin du retour, annulant ainsi le cryptage appliqué par le serveur pour protéger ses réponses.
Qu'en est-il d'un BitB ?
Mais qu'en est-il d'un BitB attaque?
Navigateur dans le navigateur est une bouchée, et la ruse impliquée ne donne pas aux cybercriminels autant de pouvoir qu'un hack MitM ou MitB, mais le concept est d'une simplicité enfantine, et si vous êtes trop pressé, c'est étonnamment facile d'y tomber.
L'idée d'une attaque BitB est de créer ce qui ressemble à une fenêtre de navigateur contextuelle qui a été générée de manière sécurisée par le navigateur lui-même, mais qui n'est en fait rien de plus qu'une page Web rendue dans une fenêtre de navigateur existante.
Vous pourriez penser que ce genre de supercherie serait voué à l'échec, simplement parce que tout contenu du site X qui prétend provenir du site Y apparaîtra dans le navigateur lui-même comme provenant d'une URL du site X.
Un coup d'œil à la barre d'adresse vous montrera clairement qu'on vous ment et que ce que vous regardez est probablement un site de phishing.
Par exemple, voici une capture d'écran du example.com site Web, pris dans Firefox sur un Mac :
Si des attaquants vous ont attiré vers un faux site, vous pourriez tomber amoureux des visuels s'ils copient le contenu de près, mais la barre d'adresse révélerait que vous n'étiez pas sur le site que vous recherchiez.
Dans une escroquerie Browser-in-the-Browser, l'objectif de l'attaquant est donc de créer un site Web régulier page ça ressemble au web site et contenu vous attendez, avec les décorations de fenêtre et la barre d'adresse, simulées de la manière la plus réaliste possible.
D'une certaine manière, une attaque BitB relève davantage de l'art que de la science, et concerne davantage la conception Web et la gestion des attentes que le piratage de réseau.
Par exemple, si nous créons deux fichiers image de capture d'écran qui ressemblent à ceci…
…puis HTML aussi simple que ce que vous voyez ci-dessous…
<html>
<body>
<div>
<div><img src='./fake-top.png'></div>
<p>
<div><img src='./fake-bot.png'></div>
</div>
</body>
</html>
… créera ce qui ressemble à une fenêtre de navigateur à l'intérieur d'une fenêtre de navigateur existante, comme ceci :
une page Web qui RESSEMBLE à une fenêtre de navigateur.
Dans cet exemple très basique, les trois boutons macOS (fermer, minimiser, maximiser) en haut à gauche ne feront rien, car ce ne sont pas des boutons du système d'exploitation, ils sont juste photos de boutons, et la barre d'adresse dans ce qui ressemble à une fenêtre Firefox ne peut pas être cliquée ou modifiée, car elle aussi juste une capture d'écran.
Mais si nous ajoutons maintenant un IFRAME dans le HTML que nous avons montré ci-dessus, pour aspirer le faux contenu d'un site qui n'a rien à voir avec example.com, comme ça…
<html>
<body>
<div>
<div><img src='./fake-top.png' /></div>
<div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
<div><img src='./fake-bot.png' /></div>
</div>
</body>
</html>
…vous devez admettre que le contenu visuel résultant ressemble exactement comme une fenêtre de navigateur autonome, même s'il s'agit en fait d'un page Web dans une autre fenêtre de navigateur.
Le contenu du texte et le lien cliquable que vous voyez ci-dessous ont été téléchargés depuis le dodgy.test Lien HTTPS dans le fichier HTML ci-dessus, qui contenait ce code HTML :
<html>
<body style='font-family:sans-serif'>
<div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
<h1>Example Domain</h1>
<p>This window is a simulacrum of the real website,
but it did not come from the URL shown above.
It looks as though it might have, though, doesn't it?
<p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
</div>
</body>
</html>
Le contenu graphique en tête et en queue du texte HTML donne l'impression que le HTML provient vraiment de example.com, grâce à la capture d'écran de la barre d'adresse en haut :
Milieu. Fakery via téléchargement IFRAME.
Fond. L'image complète la fausse fenêtre.
L'artifice est évident si vous affichez la fausse fenêtre sur un système d'exploitation différent, tel que Linux, car vous obtenez une fenêtre Firefox de type Linux avec une "fenêtre" de type Mac à l'intérieur.
Les faux composants de "vitrine" se démarquent vraiment comme les images qu'ils sont vraiment :
avec les contrôles de fenêtre réels et la barre d'adresse tout en haut.
Tomberais-tu dedans ?
Si vous avez déjà pris des captures d'écran d'applications, puis ouvert les captures d'écran plus tard dans votre visionneuse de photos, nous sommes prêts à parier qu'à un moment donné, vous vous êtes trompé en traitant l'image de l'application comme s'il s'agissait d'une copie en cours d'exécution du l'application elle-même.
Nous parions que vous avez cliqué ou tapé sur une image d'application dans une application au moins une fois dans votre vie et que vous vous êtes demandé pourquoi l'application ne fonctionnait pas. (OK, peut-être que vous ne l'avez pas fait, mais nous l'avons certainement fait, jusqu'à une véritable confusion.)
Bien sûr, si vous cliquez sur une capture d'écran d'application dans un navigateur de photos, vous courez très peu de risques, car les clics ou les tapotements ne feront tout simplement pas ce que vous attendez - en effet, vous pouvez finir par éditer ou griffonner des lignes sur l'image Au lieu.
Mais quand il s'agit d'un navigateur dans le navigateur "attaque d'illustration" à la place, des clics ou des tapotements mal dirigés dans une fenêtre simulée peuvent être dangereux, car vous êtes toujours dans une fenêtre de navigateur active, où JavaScript est en jeu et où les liens fonctionnent toujours…
… vous n'êtes tout simplement pas dans la fenêtre du navigateur que vous pensiez, et vous n'êtes pas non plus sur le site Web auquel vous pensiez.
Pire encore, tout JavaScript s'exécutant dans la fenêtre active du navigateur (provenant du site d'origine de l'imposteur que vous avez visité) peut simuler une partie du comportement attendu d'une véritable fenêtre contextuelle du navigateur afin d'ajouter du réalisme, comme le faire glisser, le redimensionner et Suite.
Comme nous l'avons dit au début, si vous attendez une véritable fenêtre contextuelle et que vous voyez quelque chose qui vraiment une fenêtre contextuelle, avec des boutons de navigateur réalistes et une barre d'adresse qui correspond à ce que vous attendiez, et vous êtes un peu pressé…
… nous pouvons parfaitement comprendre comment vous pourriez méconnaître la fausse fenêtre comme une vraie.
Les jeux Steam ciblés
Dans le Groupe-IB un article nous l'avons mentionné ci-dessus, l'attaque BinB du monde réel que les chercheurs ont rencontrée a utilisé Steam Games comme leurre.
Un site d'apparence légitime, bien que vous n'en ayez jamais entendu parler auparavant, vous offrirait une chance de gagner des places lors d'un tournoi de jeu à venir, par exemple…
… et lorsque le site a annoncé qu'il ouvrait une fenêtre de navigateur séparée contenant une page de connexion Steam, il a plutôt présenté une fausse fenêtre de navigateur dans le navigateur.
Les chercheurs ont noté que les attaquants n'utilisaient pas seulement la ruse BitB pour rechercher des noms d'utilisateur et des mots de passe, mais essayaient également de simuler des fenêtres contextuelles Steam Guard demandant également des codes d'authentification à deux facteurs.
Heureusement, les captures d'écran présentées par Group-IB ont montré que les criminels sur lesquels ils sont tombés dans cette affaire n'étaient pas très prudents quant aux aspects artistiques et conceptuels de leur escroquerie, de sorte que la plupart des utilisateurs ont probablement repéré la contrefaçon.
Mais même un utilisateur bien informé et pressé, ou quelqu'un utilisant un navigateur ou un système d'exploitation qu'il ne connaît pas, comme chez un ami, peut ne pas avoir remarqué les inexactitudes.
De plus, les criminels plus exigeants proposeraient presque certainement un faux contenu plus réaliste, de la même manière que tous les escrocs par e-mail ne font pas de fautes d'orthographe dans leurs messages, ce qui pourrait inciter davantage de personnes à donner leurs identifiants d'accès.
Que faire?
Voici trois conseils :
- Les fenêtres du navigateur dans le navigateur ne sont pas de véritables fenêtres de navigateur. Bien qu'ils puissent ressembler à des fenêtres au niveau du système d'exploitation, avec des boutons et des icônes qui ressemblent à la vraie affaire, ils ne se comportent pas comme des fenêtres du système d'exploitation. Ils se comportent comme des pages Web, car c'est ce qu'ils sont. Si vous êtes suspect, essayez de faire glisser la fenêtre suspecte en dehors de la fenêtre principale du navigateur qui la contient. Une vraie fenêtre de navigateur se comportera indépendamment, vous pouvez donc la déplacer à l'extérieur et au-delà de la fenêtre de navigateur d'origine. Une fausse fenêtre de navigateur sera « emprisonnée » à l'intérieur de la fenêtre réelle dans laquelle elle est affichée, même si l'attaquant a utilisé JavaScript pour essayer de simuler le plus possible un comportement d'apparence authentique. Cela révélera rapidement qu'il s'agit d'une partie d'une page Web, et non d'une véritable fenêtre à part entière.
- Examinez attentivement les fenêtres suspectes. Simuler de manière réaliste l'apparence d'une fenêtre de système d'exploitation à l'intérieur d'une page Web est facile à mal faire, mais difficile à bien faire. Prenez ces quelques secondes supplémentaires pour rechercher des signes révélateurs de falsification et d'incohérence.
- En cas de doute, ne le donnez pas. Méfiez-vous des sites dont vous n'avez jamais entendu parler, et auxquels vous n'avez aucune raison de faire confiance, qui veulent soudainement que vous vous connectiez via un site tiers.
Ne soyez jamais pressé, car prendre votre temps vous rendra beaucoup moins susceptible de voir ce que vous penser y a-t-il au lieu de quoi voir quoi en fait is là.
En trois mots : Arrêter. Pense. Relier.
Image en vedette de la photo de la fenêtre de l'application contenant l'image de la photo de "La Trahison des Images" de Magritte créée via Wikipédia.
- BitB
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- La perte de données
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- MitB
- MITM
- Sécurité nue
- NexBLOC
- phishing
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Arnaque
- VPN
- la sécurité d'un site web
- zéphyrnet
