Introduction
Le hacker est un type de personnalité qui a pour hobby de contourner ou de détourner les systèmes et processus existants pour arriver à ses fins, qu’elles soient malveillantes ou non. Il s’agit chez lui d’une déformation professionnelle : tester les possibilités, voir à quel point telle ou telle règle peut être outrepassée, trouver un nouveau moyen d’exploiter une faiblesse est une seconde nature chez lui. On observe donc souvent un jeu du chat et de la souris entre les hackers et les chercheurs en sécurité : les hackers vont chercher des vulnérabilités et des exploits tandis que les chercheurs se presseront de trouver des correctifs au même rythme afin d’empêcher les intrusions.
Cela conduit mécaniquement à un perfectionnement des techniques de hacking à un rythme soutenu, au fur et à mesure de la progression de la maturité cyber du public et des éditeurs de logiciels. Dans le cas du phishing, la poursuite de cette méthodologie donne aujourd’hui le BitB (Browser in the Browser) ou en français : Navigateur dans le navigateur.
Le phishing classique
De nos jours, la plupart des gens ont entendu parler du phishing ainsi que des manières de s’en protéger. Cela conduit à un sentiment de sécurité trompeur : « Pas à moi », « Je ne suis pas le genre de personne à se faire avoir ». Il est ainsi notoire qu’une des choses à faire en cas de doute est de vérifier l’URL du site sur lequel on se trouve avant de continuer ses opérations. Les navigateurs aident aussi les utilisateurs à reconnaître un site frauduleux avec des codes couleurs, des alertes si le site n’a pas de certificats de sécurité, des cadenas pour indiquer le chiffrement d’un échange.
Pourquoi cette nouvelle technique marche ?
La technique dont nous allons parler aujourd’hui tourne à son avantage ces mécanismes et automatismes acquis par les utilisateurs. L’objectif pour le hacker est le même que d’habitude : réussir à vous amener sur son site en vous faisant croire qu’il s’agit d’un site légitime afin de récupérer vos identifiants et mots de passe. Seulement dans ce cas, le hacker va reproduire un comportement de plus en plus répandu sur des sites légitimes, qui va renforcer la légitimité perçue du site malveillant : ouvrir une fausse fenêtre pop-up pour gérer l’authentification.
Tout est fait pour que la fausse fenêtre ressemble à une vraie. Elle peut être déplacée, quand votre souris passe au-dessus des boutons, ils réagissent et surtout la fenêtre ressemble à une fenêtre de navigateur légitime. Le hacker peut maintenant mettre tout ce qu’il veut dans la barre URL y compris la vraie URL du site que la fenêtre usurpe, comme par exemple : www.google.com. La barre contient aussi un cadenas. Bref, tout ce qu’il faut pour vous rassurer. Cela ressemble à ça : https://github.com/mrd0x/BITB/raw/main/demo.gif
Plutôt convaincant non ?
Comment le détecter ?
L’objectif pour le hacker est d’exploiter votre vigilance et vos habitudes en vous fournissant les preuves de légitimité habituelles que vous allez rechercher, en espérant qu’une fois votre vigilance rassurée, vous n’irait pas plus loin dans vos investigations. Seulement ici, vos procédures habituelles de vérification ne suffisent pas. En effet, pour détecter l’arnaque, il va falloir tester d’autres choses que l’existence du cadenas ou l’URL du site.
La plus simple et la plus directe est de tenter de faire sortir la fausse fenêtre du navigateur qu’elle surplombe : comme la fausse fenêtre est générée par la page web du hacker, elle n’est pas capable de sortir de cette page web et donc ne peut pas être visible si vous fermez ou réduisez la page initiale, à l’inverse d’un vrai pop-up qui reste visible dans ces cas.
Afin d’aider vos employés à prévenir ce type d’attaque, le mieux reste encore de les former et le sensibiliser au travers de formations spécifiques.
Vous pouvez aussi vous faire accompagner à l’année ou ponctuellement pour vérifier le niveau de vigilance de vos employés en commandant une ou plusieurs campagnes de phishing plus ou moins personnalisées.
Article rédigé par : Baptiste Fraikin, pentester chez Coralium
Si vous voulez en apprendre plus sur les formations et campagnes de phishing que nous proposons, n’hésitez pas à cliquer ici !