Sécurité : Le phishing laisse la place au Tabjacking

01 juin 2018 à 15h36
0
Plus dangereuse et surtout plus sournoise, une nouvelle méthode de phishing ou hameçonnage pour les francophiles, vient d'arriver jusqu'à nos oreilles. Le Tabjacking passerait outre les faux e-mails incitant à aider un hypothétique cousin nigérian ou à répondre à sa fausse banque. Il s'agit simplement de l'utilisation d'une possibilité JavaScript qui permet de changer un onglet sans en modifier l'Url. Plutôt fort.
00FA000001952840-photo-phishing.jpg

A en croire l'auteur d'un Proof of Concept (PoC) repris par le site Zataz, quelques secondes seraient nécessaires pour qu'un site web classique se transforme en fausse messagerie Gmail. Azarask (Aza Raskin) explique sur son site (démo à l'appui) qu'un JavasSript malveillant s'active et modifie quelques informations en toute transparence pour l'utilisateur. L'internaute sera dirigé vers une fausse page d'identification sans modification d'Url...

Pour l'instant, la méthode fonctionnerait sous Chrome et Firefox et passerait même les défenses d'outils comme Noscript en cas d'acceptation du script. Sous cette configuration, la fausse page Gmail s'afficherait soit au bout de 20 secondes, soit après 10 rafraichissements de pages avec le clavier.

Reste à savoir si la méthode pourra être utilisée largement par des esprits et logiciels malveillants. Ce Tabjacking pourrait, en effet, conduire un internaute ouvrant plusieurs onglets à se laisser piéger par ce JavaScript malveillant et une fausse page d'identification. Les informations ainsi recueillies pourraient ensuite s'avérer utiles pour trouver et infecter de nouvelles adresses.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

MySpace se lance sérieusement dans le social gaming
Sony dévoile son dernier écran Oled flexible
McAfee rachète la firme de sécurité mobile Trust Digital
MasterCard ouvre une interface de programamtion
Suicides chez Foxconn : l'usine veut sauver les apparences, les marques veulent mener l'enquête
Amazon : le Kindle n’a rien a à craindre des tablettes tactiles
HP est désormais leader sur les serveurs, devant IBM
Le Parlement européen dément la fourniture d'iPad
Vanksen lève 4 millions pour son développement à l'international
iTunes : vers une nouvelle enquête antitrust ?
Haut de page