Situation :
Une nouvelle attaque de phishing visant à voler les identifiants Facebook a été repérée et même une personne avisée pourrait se faire avoir. Une personne qui arriverait sur ce site web, probablement suite à un email de phishing, est poussée à se logger avec ces identifiants Facebook, mais ceux-ci ne sont pas renvoyés au réseau social, mais bien à un hackeur.
Analyse :
Sur de nombreux sites web, il y a la possibilité de se logger via Facebook. Vous mettez votre identifiant Facebook dans une fenêtre pop-up et ensuite vous pouvez accéder au site web tiers que vous souhaitez.
Des hackeurs on fait un faux pop-up, en encodant dans du code HTML une fausse fenêtre qui a toute l’apparence d’un login de Facebook (avec l’URL verte et le domaine Facebook), mais qui n’est pas un pop-up. Même les internautes avertis, n’y vois que du feu, car l’apparence est identique et la fausse fenêtre peut même bouger.
Une fois le mot de passe en possession du hackeur, celui-ci peut utiliser votre compte pour propager des malware ou poster en votre nom. Ils peuvent même essayer de réutiliser votre mot de passe sur d’autres.
Vidéo de démonstration
Avis personnel :
Les hackeurs ne vont que devenir mieux. Plus les gens font attention aux détails, plus les hackeurs vont perfectionner leurs attaques. Cette dernière attaque est très difficile à déceler. En déplacent le faux pop-up on voit rapidement que ce n’est pas une vraie fenêtre vu qu’elle est limitée par la fenêtre parente.
Une autre façon de détecter l’attaque est d’utiliser un gestionnaire de mot de passe. Ces derniers ne remplissent automatiquement les champs que ce ceux-ci correspondent bien au domaine en question. Vu que dans le cas de l’attaque il n’y a pas de pop-up pour Facebook, le domaine est toujours celui du hackeur.
J’espère que ces explications ne sont pas trop compliquées…
Steven Meyer
Partner & CEO
Ing. EPFL, CISSP