Un portail vers vos mots de passe

Un voleur souhaitant gagner de l'argent en dérobant des informations sensibles en ligne peut s'introduire dans les systèmes bancaires qui stockent ces données ou les récupérer lorsqu'ils voyagent via une connexion non sécurisée. Mais de nos jours, il est beaucoup plus facile de faire du phishing, c'est-à-dire de convaincre des internautes imprudents de transmettre eux-mêmes ces informations. Pour ce faire, les hameçonneurs conçoivent généralement de fausses versions de vrais sites Web, comme une banque ou un détaillant en ligne, et incitent les internautes à leur insu à saisir leurs données de connexion ou les détails de leur carte de crédit. Un stratagème courant consiste à les attirer avec un e-mail qui prétend provenir d'une vraie banque mais qui contient en fait des liens vers l'un des faux sites des hameçonneurs.





Cependant, les victimes potentielles se familiarisent avec cette attaque de phishing basique et de nombreux fournisseurs de messagerie et de navigateurs ont introduit des contre-mesures pour les protéger. Les hameçonneurs recherchent donc de nouvelles façons de piquer les imprudents, dit Amit petit , CTO de Fiduciaire , basé à Tel Aviv, Israël. Par exemple, le site de microblogging Twitter est de plus en plus utilisé pour diffuser des liens de phishing.

Néanmoins, Klein dit que l'attaque [de base] ne sera pas aussi réussie à l'avenir qu'elle l'a été jusqu'à présent, et dans un effort pour empêcher de futures attaques de phishing, son entreprise cherche de meilleurs moyens d'escroquer les gens sans argent avant les méchants peuvent. Une nouvelle tactique inquiétante explorée par certains hameçonneurs, explique Klein, consiste à pirater un site Web légitime afin d'injecter un code malveillant qui ouvre une fenêtre contextuelle demandant les noms d'utilisateur et les mots de passe des individus pour un site bancaire. Cette approche a cependant une valeur limitée, car la plupart des utilisateurs se méfieront de la demande soudaine.

À vulnérabilité dans les principaux navigateurs récemment découverts par Trusteer pourrait rendre cette astuce beaucoup plus dangereuse, en permettant le phishing en session et une attaque plus personnalisée. Grâce à cette nouvelle vulnérabilité, un hameçonneur pourrait détecter, via le site piraté, lorsqu'un utilisateur était déjà connecté à un site bancaire. Le site piraté pourrait alors lancer une fenêtre contextuelle avertissant l'utilisateur que sa session a expiré et lui demandant de saisir à nouveau ses informations de connexion. Cette approche serait moins susceptible de déclencher un drapeau rouge, dit Klein, car la fenêtre contextuelle n'apparaît pas complètement à l'improviste.



Hameçonnage 2.0 : Une vulnérabilité récemment découverte par la société de sécurité Trusteer permettrait aux attaquants de lancer des fenêtres contextuelles correspondant à celles d'une banque à laquelle un utilisateur est déjà connecté, comme indiqué ci-dessus.

La principale vulnérabilité découverte par les chercheurs israéliens est une faille du navigateur Web qui permet au hameçonneur de voir quels autres sites Web une personne visite. Klein explique qu'une certaine fonction JavaScript, couramment utilisée par les détaillants en ligne, les institutions financières et d'autres sites, laisse une empreinte révélant que l'utilisateur est connecté à ce site. Klein dit que les protections telles que les bloqueurs de fenêtres contextuelles ne feraient pas nécessairement dérailler l'attaque, car le site piraté pourrait lui-même être modifié pour ressembler à une demande de connexion à nouveau.

Je pense qu'il est formidable que nous essayions d'identifier d'autres sites d'attaques de phishing comme celui-ci, dit Nitesh Dhanjani , un chercheur indépendant en sécurité qui étudie les méthodes et les tendances de phishing. Pour le moment, dit Dhanjani, ce type d'attaque dépasse les capacités techniques du hameçonneur moyen. La barre est bien trop basse pour entrer dans le jeu du phishing, donc les hameçonneurs n'ont aucune raison de se transformer en une communauté sophistiquée, dit-il. Cependant, comme les utilisateurs sont mieux protégés contre les types d'attaques les plus élémentaires, dit-il, la barre technique pour les hameçonneurs pourrait commencer à s'élever : c'est peut-être à ce moment-là que nous verrons des techniques légèrement plus avancées incorporées dans les kits de phishing.



Klein dit que Microsoft, Apple et Mozilla lui ont dit qu'ils prévoyaient de publier des correctifs pour la vulnérabilité du navigateur découverte par Trusteer. Il ajoute que les utilisateurs peuvent se protéger en prenant soin de se déconnecter des sites bancaires et de commerce électronique avant de visiter d'autres sites Web.

cacher