Inciter les gens à remettre leurs identifiants de connexion n’a jamais été aussi straightforward. Comme le montre une nouvelle boîte à outils de phishing, les fenêtres contextuelles d’authentification special (SSO) sont incroyablement faciles à usurper dans Chrome, et l’URL d’une boîte de connexion peut ne pas indiquer si un website est vraiment légitime.
Vous savez remark certains web pages Internet vous permettent de vous connecter à l’aide de votre compte Google, Apple, Facebook ou Amazon ? C’est une connexion SSO – c’est un gain de temps précieux, car cela réduit le nombre de noms d’utilisateur et de mots de passe dont vous devez vous souvenir.
Voici le problème les pirates peuvent parfaitement répliquer ces fenêtres SSO dans Chrome, même jusqu’à l’URL. Un nouveau package de phishing de dr.d0x, un chercheur en sécurité, comprend un modèle prêt à l’emploi que les pirates novices ou les white hats peuvent utiliser pour créer rapidement une fenêtre contextuelle SSO convaincante. (D’autres modèles peuvent déjà flotter dans les cercles de piratage.)
Les pirates qui utilisent ces fausses fenêtres SSO les colleront sur toutes sortes de sites World-wide-web. Un pirate peut vous envoyer un e-mail concernant votre compte Dropbox, par exemple, et vous dire de visiter un particular lien. Ce lien pourrait diriger vers une fausse site Internet Dropbox avec des possibilities de connexion SSO pour Google, Apple et Fb. Toutes les informations que vous entrez dans ces fausses boîtes SSO, comme votre identifiant Google, seront collectées par le pirate.
Bien sûr, les web sites World wide web de vidéos pirates (et d’autres web pages proposant des contenus « gratuits ») peuvent être la vacation spot la in addition courante pour ces fenêtres SSO usurpées. Un pirate informatique peut créer un internet site World wide web de vidéo pirate qui nécessite une connexion SSO, par exemple, obligeant ainsi les gens à remettre leurs informations d’identification Google ou Fb.
Pour clarifier, dr.d0x n’a pas inventé l’exploit de phishing SSO ou browser-in-browser. Les pirates ont commencé à usurper les fenêtres de connexion SSO il y a plusieurs années. Ce kit de phishing montre simplement remark fonctionnent ces exploits. De additionally, les entreprises peuvent utiliser ce kit pour tester la capacité de leurs employés à repérer les stratagèmes de phishing.
Éviter une attaque de phishing peut être difficile. Je vous suggère de commencer par installer un gestionnaire de mots de passe, qui peut souvent détecter les tentatives de phishing et vous aidera à utiliser des informations de connexion uniques pour chaque website Internet (ce qui réduit les dommages causés par une attaque de phishing réussie). Vous devez également éviter d’ouvrir des liens dans des e-mails ou des SMS, même s’ils semblent sérieux ou légitimes.
Source : mr.d0x by means of BleepingComputer
