• Perspective
Publié le 25 mars 2022

BITB, une nouvelle technique de phishing (presque) impossible à détecter

Introduction

Le chercheur en sécurité mr.d0x a récemment mis au point une nouvelle technique d’hameçonnage pour démontrer que la seule vérification de l'URL d'un site ne suffit pas toujours pour se protéger. Cette attaque s’appelle "browser-in-the-browser" (BitB) et consiste à simuler une fenêtre de navigateur à l'intérieur du navigateur réel afin d'usurper un domaine légitime, ce qui permet de mettre en scène des attaques d’hameçonnage très convaincantes.

Comment cela fonctionne-t-il ?

Cette méthode tire parti des options d'authentification unique (SSO) intégrées aux sites web, telles que "S'identifier avec Google" (ou Facebook, Apple ou Microsoft). L'attaque BitB vise à reproduire l'ensemble du processus de connexion en utilisant un mélange de code HTML et CSS pour créer une fenêtre de navigateur de toute pièce.

Imaginons qu'un utilisateur souhaite se connecter à une application en utilisant Facebook. Nous pouvons voir dans l'image suivante qu’il n’y a aucune différence entre la page de phishing et la page réelle, y compris dans l'URL affichée :

 

Exemple d’une page de phishing et d’une page réelle lors de la connexion à une application via Facebook - crédit : mr.d0x

Dans ce cas, comment distinguer le vrai du faux ?

Passer la souris sur une URL pour déterminer si elle est légitime n'est pas très efficace lorsque JavaScript est autorisé. En effet, le code HTML d'un lien ressemble généralement à ceci :

<a href="https://gmail.com">Google</a>

Mais si un événement "onclick" est ajouté, l'attribut "href" sera ignoré. Le survol du lien continuera à afficher le site web de l'attribut "href", mais lorsque nous allons cliquer sur le lien, seul le code JavaScript sera exécuté. Nous pourrons utiliser ces connaissances pour rendre la fenêtre pop-up plus réaliste. Un exemple ci-dessous:

<a href="https://gmail.com" onclick="return launchWindow();">Google</a>

function launchWindow() {
    // Launch the fake authentication window
    return false; // This will make sure the href attribute is ignored
}

L'URL et les liens apparaissant comme légitimes, il n'y a a priori aucun moyen de s'assurer que la page est réelle en se basant sur son contenu. Le moyen le plus simple de découvrir la supercherie dans le cas d'un BitB, c'est justement de vérifier si le nouveau navigateur en est bien un. Un navigateur est une fenêtre gérée par l'interface graphique de l'ordinateur, qui peut être déplacée sur l'écran, agrandie, etc. Si le "navigateur" ne peut pas être réduit ou ne peut pas être déplacé hors de la page web, c'est qu'il s'agit d'un phishing BitB.

Conclusion

Cette nouvelle attaque va grandement augmenter les risques qu’un utilisateur rentre ses informations de connexion sans savoir s’il s’agit d’une attaque de phishing ou pas. Le seul moyen d’empêcher cela est de continuer à faire de la sensibilisation sur le sujet et faire en sorte que les utilisateurs soient toujours plus méfiants vis-à-vis des mails demandant de l’argent ou de se connecter pour récupérer un document important.

Auteur : Maxime Kapitanffy

Références

https://thehackernews.com/2022/03/new-browser-in-browser-bitb-attack.html

https://mrd0x.com/browser-in-the-browser-phishing-attack/

Article rédigé par
La Minute Cyber