Une nouvelle technique pour le vol de données personnelles : Le "in-session phishing" ou les "pop-ups vicieuses"

Les attaques de hameçonnage (phishing) utilisent généralement le mail comme vecteur d'attaque : L'attaquant envoie des messages usurpant l'identité et le look&feel d'une banque ou autre organisme afin d"inciter les personnes peu soupçonneuses à cliquer sur un lien ; ce dans le but de collecter des informations personnelles de connexion.

L'une des variantes, connue sous le terme de "spear-phishing" se base sur le même principe de fonctionnement (envoi d'un mail avec un lien) mais vise une population de personnes plus ciblée ; donc avec potentiellement plus de victimes à la clef...

La créativité et l'adaptabilité aidant, une nouvelle technique baptisée "in-session phishing" vient d'être identifiée par des experts en sécurité de la société Trusteer. Au vu des informations à ma disposition, celle-ci serait d'une efficacité redoutable... Son principal défaut est quelle repose sur un ensemble de facteurs que l'attaquant ne maitrise pas totalement. Elle n'en reste pas moins des plus pernicieuse.

Je vous propose d'en découvrir les principales caractéristiques.

Vu d’un utilisateur lambda, une attaque de "in-session phishing" se matérialise sous la forme d’une fenêtre "pop-up" apparaissant lors de la consultation d’un site de banque en ligne. Cette pop-up l’invitant bien entendu à saisir des identifiants de connexion (login/passord) pour X ou Y bonnes raisons plus vraisemblables les unes que les autres.

Une personne même un peu soupçonneuse tombe aisément dans le panneau... redoutable...

Comment cela est-il possible ? Quels sont les principes de fonctionnement d’une telle attaque ? Quel comportement adopter pour s’en protéger ?

Cette attaque de "in-session phishing" s’appuie sur trois grands "fondamentaux"

  1. L’utilisateur accède simultanément à deux sites Internet, le 1er son site bancaire et un autre site.
  2. Il est possible pour un script Javascript d’une fenêtre/onglet d’identifier si un site donné est accédé simultanément dans un autre onglet.
  3. L’autre site que celui de la banque (disons pour simplifier un forum de discussion) permet l’injection de code JavaScript (Faille de Cross-Site Scripting ou XSS par exemple).

Un attaquant va monter une attaque de "in-session phishing" selon le scénario suivant :

  • Il injecte du code malicieux dans le forum de discussion. Ce code "surveille" si le site de certaines banques est simultanément accédé sur un autre onglet du navigateur.
  • Si c’est le cas, le script ou code malicieux fait apparaitre une fenêtre pop-up indiquant à l’utilisateur que sa session va bientôt expirer (par exemple) et qu’il lui faut ressaisir son login et mot de passe.
  • .... et hop, c’est dans la poche : Voici vos identifiants de connexion sont désormais connus par un sombre groupe de personnes malintentionnées.

Comment se protéger de ce type d’attaques ?

  • Ne consultez pas simultanément votre compte bancaire et d’autres sites.
  • Restez en alerte : Les fenêtres pop-up ne sont plus légion depuis pas mal de temps... bloquez-les, même pour vos sites de confiance.

Quelques liens pour en savoir sur le "in-session attack"

[1] Trusteer, Research, Attacks techniques, In-Session Phishing (PDF)


[2] CircleID, Phishers Using New Web-Based Technique ‘In-Session Phishing’ to Steal User Data, Researcher Warn, January 16, 2009


[3] DarkReading, New Phishing Attack Targets Online Banking Sessions With Phony Popups, January 13, 2009

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens