Chrome : cette attaque phishing redoutable vous piège avec une fausse barre d’adresse

Maj. le 29 avril 2019 à 19 h 48 min

Un chercheur en sécurité, James Fisher, détaille une nouvelle attaque phishing visant Chrome sur smartphone : l’astuce, c’est de créer une fausse barre d’adresse qui se substitue à celle du navigateur. D’apparence authentique, cette barre, surnommée « Inception » par son créateur, assure le visiteur qu’il est sur la bonne page, et jouit d’une connexion sécurisée. Elle peut également le coincer dans un environnement contrôlé par des pirates, même lorsqu’il tente de quitter la page.

Une fausse barre d'adresse, plus vraie que nature / jameshfisher.com
Une fausse barre d’adresse, plus vraie que nature / jameshfisher.com

Un développeur, James Fisher, détaille sur son site un nouveau type d’attaque phishing. Baptisé « Inception », l’exploit reproduit l’apparence d’une page authentique sur smartphone à l’aide d’une simple capture d’une barre d’adresse obtenue lors d’une visite sur un site – en l’occurence celui de la banque HSBC.com. Il explique dans son article comment pousser le concept dans ses retranchements, et ainsi coincer le visiteur dans une sorte de navigateur imbriqué dans Chrome.

Lire également : Google Chrome – des pirates utilisent une extension pour voler des mots de passe

Chrome : nouvelle attaque phishing via une barre d’adresse digne d' »Inception »

On apprend ainsi que Chrome pour Android peut permettre à un développeur de substituer complètement l’élément graphique de la barre d’adresse par un autre, fabriqué de A à Z par des pirates. Il détaille comment empêcher, par exemple, que la vraie barre de recherche n’apparaisse lorsque l’utilisateur fait défiler l’écran. Ou remplacer cette barre d’adresse – qui peut n’être qu’une simple image – par un vrai champ dans lequel l’internaute peut entrer n’importe quelle adresse de son choix.

Les pirates auront alors tout le loisir d’espionner ce que l’internaute fait sur d’autres sites, voire aspirer ses identifiants en route. Cette attaque est étonnamment difficile à repérer, et c’est ce qui semble la rendre très dangereuse. Le chercheur suggère aux ingénieurs de Google de forcer l’affichage d’un élément graphique qui empêche la page de pouvoir afficher ce que bon lui semble sur la totalité de l’écran. Un élément qui pourrait signaler que la vraie barre d’adresse est cachée, et permettre à l’utilisateur de la faire réapparaitre en touchant le message.

Lire également : une nouvelle attaque phishing par SMS veut piller votre compte en banque !

Pensez-vous avoir été déjà victime d’une attaque phishing ? Partagez votre retour dans les commentaires.



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
Votre smartphone peut prendre feu à cause de ce simple malware !

Les chercheurs en sécurité de Tencent ont découvert qu’il était possible de mettre le feu, à distance, à un smartphone. Ils ont pour cela conçu un malware, BadPower, qui s’attaque aux chargeurs rapides – qui servent alors de fusible d’allumage……

Fraude à la carte bancaire : le skimming débarque sur le web

La fraude à la carte bancaire évolue. Selon nos confrères du site Ubergizmo, des hackers ont trouvé le moyen d’adapter le skimming, cette technique qui consiste à pirater une carte bleue une fois insérée dans un DAB, pour le web….

Zoom va chiffrer de bout en bout les visioconférences gratuites

Zoom change d’avis ! Finalement, le service d’appels vidéo va chiffrer de bout en bout les visioconférences de tous les utilisateurs, y compris celles des usagers gratuits. Dès le mois de juillet 2020, l’option sera accessible à tous les internautes en version…

Huawei : Boris Johnson voudrait bannir le constructeur du Royaume-Uni

Huawei pourrait se voir bouté hors d’Angleterre. En effet, Boris Johnson, le premier ministre britannique, envisagerait d’interdire la société chinoise de participer à la mise en place des réseaux 5G. La Grande Bretagne se rangerait ainsi du côté des Etats-Unis….