Phishing

[Hélène]

Sujet: In-session phishing Hier à 4:55

--------------------------------------------------------------------------------

Le in-session Phishing une nouvelle technique de subtilisation des données bancaires



Résumé : La société Trusteer vient de réveler, dans son dernier rapport, l'existence d'une nouvelle technique de Phishing visant à améliorer les conditions de subtilisation des informations d'authentification relatives aux services bancaires en ligne.


Un groupe de chercheurs en sécurité vient de révéler l’existence d’une nouvelle technique de Phishing qui facilite le vol des informations de connexion aux services bancaires en ligne. Elle repose initialement sur le fait qu’un utilisateur reste connecté à un tel service tout en continuant à naviguer sur d’autres sites Internet via des instances parallèles de son navigateur.

Cette technique, aujourd'hui connue sous la dénomination de « in-session phishing », serait apparemment très efficace à l’encontre de l’ensemble des navigateurs Web qui sont actuellement utilisés par les internautes pour gérer leurs comptes bancaires en ligne. Selon ces chercheurs, les navigateurs Microsoft Internet Explorer, Mozilla Firefox, Apple Safari et Google Chrome sont tous concernés par cette vulnérabilité fâcheuse.

Trusteer , spécialiste des solutions de sécurité pour les services bancaires en ligne, vient donc par l’intermédiaire de Amit Klein, responsable technique et spécialiste dans ce domaine, de révéler que c'est plus précisément à cause d'une fonction Javascript spécifique que cette exploitation est rendue possible. Le nom de la fonction incriminée n'a néanmoins pas été mentionné dans le rapport .

Une page spécialement forgée peut ainsi être en mesure de détecter, selon une liste prédéfinie, les connexions en cours d’un utilisateur vers des service bancaires en ligne. Il est alors possible de réaliser une attaque plus classique de Phishing en proposant un pop-up malicieux qui usurpe la présentation du service original tout en demandant à l’utilisateur de s’identifier à nouveau pour éviter l’expiration de sa session.

Il ne reste plus à l’attaquant qu’à récupérer ces informations sensibles et à se connecter sur ce même service afin d’accéder à l'ensemble des comptes de la victime avec toutes les conséquences que l’on peut aisément imaginer. Cet exemple spécifique peut bien évidemment être transposé à d’autres types de services en ligne et notamment ceux qui sont issus des institutions boursières et des services de l’administration.

Des déclinaisons à venir sont également fortement envisageables vis-à-vis de tous les types de services qui imposent un système d’authentification, les webmails (Hotmail, Gmail, etc), les sites d’enchères (Ebay, Ricardo, etc) et les casinos en ligne, cette liste n’étant pas exhaustive. La vulnérabilité aurait cependant été récemment reportée auprès des responsables des différents navigateurs concernés afin que des correctifs puissent être diffusés au plus vite.

Dans tous les cas, il reste préférable de privilégier le blocage des pop-up et de ne pas effectuer de navigations parallèles lors des connexions à un service sensible. Ce conseil peut par ailleurs s’appliquer aux autres types de vecteurs que toutes les applications et extensions exécutées localement peuvent représenter . Une bonne politique de prévoyance implique également de vider systématiquement le cache et la partie spécifique de l'historique du navigateur après l'utilisation de tels services.

[kris1002]

Merci pour l'information

[tisiphoné]

c'est comme ça qu'ils ont piraté le compte de Sarko ?

[Fonck1]

pitin,a chaque fois que j'achète sur ebay,je reçois un courrier "security alert - confirm your paypal information"
dans la minute,j'ai un message de phishing.

Ne jamais prendre un lien reçu,toujours aller sur la toile directement.
je viens d'acheter des pneus en Angleterre,j'ai failli me faire avoir.

pourtant,j'ai l'habitude.
en cela,notre langage nous aide,si vous recevez un truc en anglais après avoir acheté en français.

mais en tout cas:
ne jamais aller sur un lien,allez payer directement sur le site ou vous avez acheté ou enchérit.c'est très vicieux.

[papirenard]

merci pour cette information très complète, je tâcherai de m'en rappeler !

[mum401]

Personnellement j'ai opté pour une carte banquaire spéciale paiements internet de ma banque.
Je paie trés peu sur internet et seulement sur des sites dits "sécurisés" mais j'avoue qu' à chaque fois j'ai un petit pincement au coeur

[Fonck1]

Personnellement j'ai opté pour une carte banquaire spéciale paiements internet de ma banque.
Je paie trés peu sur internet et seulement sur des sites dits "sécurisés" mais j'avoue qu' à chaque fois j'ai un petit pincement au coeur

le petit cadenas jaune en bas de votre navigateur est une condition essentielle a la réalisation de tout achat.
comme je l'ai dit tout a l'heure,payez directement sur le site en question,en www.sitedivers.com,pas un lien d'information ou toute autre ruse.

Votre visa ou carte bleue doit également vous proteger de la fraude,il y a des assurances en ce sens.