Le bogue du navigateur pourrait permettre le hameçonnage sans e-mail

Un bug trouvé dans tous les principaux navigateurs pourrait permettre aux criminels de voler plus facilement les informations bancaires en utilisant un nouveau type d'attaque appelé «phishing en session», selon les chercheurs du fournisseur de sécurité Trusteer.

Le phishing en cours de session (pdf) offre aux méchants une solution au plus gros problème auquel les phishing sont confrontés ces derniers temps: comment atteindre de nouvelles victimes. Dans une attaque d'hameçonnage traditionnelle, les escrocs envoient des millions de faux messages électroniques déguisés pour sembler provenir d'entreprises légitimes, telles que des banques ou des sociétés de paiement en ligne.

Ces messages sont souvent bloqués par un logiciel de filtrage anti-spam. Avec le hameçonnage en session, le message électronique est supprimé de l'équation et remplacé par une fenêtre de navigateur contextuelle

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Voici comment une attaque fonctionnerait: Les méchants pirateraient un site Web légitime et planteraient du code HTML qui ressemblerait à une fenêtre d'alerte de sécurité pop-up. La fenêtre contextuelle demandait alors à la victime d'entrer son mot de passe et ses informations de connexion, et éventuellement de répondre aux autres questions de sécurité utilisées par les banques pour vérifier l'identité de leurs clients.

Pour les attaquants, le plus dur serait de convaincre avis est légitime. Mais grâce à un bug trouvé dans les moteurs JavaScript de tous les navigateurs les plus utilisés, il existe un moyen de rendre ce type d'attaque plus crédible, a déclaré Amit Klein, directeur de la technologie chez Trusteer.

En étudiant les navigateurs utiliser JavaScript, Klein a dit qu'il a trouvé un moyen d'identifier si quelqu'un est ou non connecté à un site Web, à condition qu'ils utilisent une certaine fonction JavaScript. Klein ne nomme pas la fonction parce qu'elle donnerait aux criminels un moyen de lancer l'attaque, mais il a averti les fabricants de navigateurs et s'attend à ce que le bug soit corrigé.

Jusque-là, les criminels découvrant la faille pourraient écrire du code si les internautes sont connectés, par exemple, à une liste prédéterminée de 100 sites bancaires. "Au lieu de simplement lancer ce message d'hameçonnage aléatoire, un pirate peut devenir plus sophistiqué en sondant et en vérifiant si l'utilisateur est actuellement connecté à l'un des 100 sites Web d'institutions financières", at-il dit.

Les chercheurs en sécurité ont mis au point d'autres moyens de déterminer si une victime est connectée à un site donné, mais ils ne sont pas toujours fiables. Klein a déclaré que sa technique ne fonctionne pas toujours mais qu'elle peut être utilisée sur de nombreux sites, notamment les banques, les détaillants en ligne, les sites de jeux et de réseaux sociaux.