Browser in the Browser * Nouvelle technique de PHISHING - Décryptage de Cassie Leroux, Directrice Produit chez Mailinblack

mars 2022 par Cassie Leroux, Directrice Produit chez Mailinblack

Une nouvelle technique de phishing, le BitB (Browser in the Browser), a récemment fait son apparation.

Qu’est-ce que le phishing par BitB ?

Le BitB, ou « Browser in the Browser » est une nouvelle technique de phishing pour récupérer les mots de passe. C’est une sorte d’illusion informatique, une ruse de codage qui vient créer une fausse fenêtre pop-up de navigateur à l’intérieur du navigateur qui vous demande de vous identifier. En usurpant un domaine légitime, elle permet d’organiser des attaques de phishing convaincantes pour récupérer vos identifiants.

La fausse fenêtre pop-up est, au premier regard, impossible à repérer et peut parfaitement imiter une page de connexion Apple, Facebook, Google ou Microsoft, jusqu’à l’icône dans la barre de titre et l’URL dans la barre d’adresse.

Quand est apparue cette technique ?

Le 15 mars 2022, un chercheur en cybersécurité et développeur, plus connu sous le pseudo de mrd0x s’est aperçu que ces fameux formulaires de connexion de phishing pouvaient, à l’aide de fausses fenêtres de navigateur, être plus crédibles que jamais.

Qui est visé par ces attaques ?

Tout le monde ! Au même titre que toutes les cyberattaques basées sur l’e-mail. Cette nouvelle attaque tire parti du fait que de nombreux sites Web utilisent des services d’authentification unique (SSO), qui vous permettent de vous connecter à un site Web avec un nom d’utilisateur et un mot de passe tiers au lieu de devoir créer un autre compte et un autre mot de passe.

Dans le milieu professionnel, de nombreuses organisations utilisent des systèmes SSO internes pour se connecter à des sites et services professionnels. On s’attend donc à voir fleurir ce type d’attaque dans les entreprises.

Quels sont les risques encourus ?

Ce type d’attaque rend le phishing presque invisible. Selon l’article de mrd0x, fabriquer une version malveillante d’une fenêtre pop-up est un jeu d’enfant, en utilisant des codes HTML/CSS de base.

Les risques sont les mêmes qu’une attaque de phishing classique, sauf que l’on peut s’inquiéter de cette évolution qui va être capable de piéger un plus grand nombre d’utilisateurs, même les plus avertis. En effet, il n’est plus possible de faire confiance aux navigateurs web pour nous protéger, même avec un « https»…

Comment faire pour s’en prémunir ?

Utiliser une solution de protection de messagerie permettant de filtrer tous les types d’attaques ;

Sensibiliser et former les collaborateurs grâce à des simulations d’attaques BitB pour les entrainer à les déjouer ;

Ne pas cliquer sur les liens contenus dans les e-mails inconnus et ne pas communiquer ses identifiants en cas de doute ;

À l’ouverture de la pop-up, vérifier la fenêtre : si vous ne pouvez pas redimensionner la fenêtre ou la faire défiler, ni la faire glisser au-delà du bord de la fenêtre de la page Web sous-jacente, c’est que c’est une fausse.