Browser in The Browser (BitB), une nouvelle technique de phishing pour récupérer votre mot de passe

Identifié il y a à peine plus d’une dizaine de jours (le 15 mars 2022) par le chercheur en cybersécurité connu sous le pseudo mrd0x, le phishing “Browser in the Browser”, aussi appelé BitB, est une nouvelle technique malveillante visant à obtenir vos identifiants et mots de passe. Cette dernière se démarque par son originalité et sa précision d’imitation. Il s’agit là d’une illusion informatique, venant, à l’aide d’un simple codage, recréer une fausse fenêtre pop-up d’identification. Connexion Facebook, Outlook ou même Google, tout est imité à la perfection. Allant même jusqu’à usurper le domaine original, l’icône dans la barre de titre, et même l’URL de la page originelle.

Mais alors quels sont les profils visés par cette attaque ? Malheureusement, tout le monde peut être ciblé ! Tout comme dans le phishing et les attaques véhiculées par email, personne n’est à l’abri. De nombreuses interfaces professionnelles, réseaux sociaux, plateformes d’échange, voire même des entreprises utilisent des services d’authentification unique (aussi appelée SSO), ce qui représente donc une opportunité gigantesque pour les pirates informatiques.

Quelles peuvent être les conséquences de cette nouvelle technique de phishing ?

Comme nous le disions précédemment, le BitB est une technique apparentée au phishing. Ainsi, les conséquences de ces attaques sont les mêmes que pour les attaques d’hameçonnage. Pertes financières, vols de données et d’identifiants privés ou encore apparition de technostress auprès de vos employés, les impacts sont nombreux.

Gif email security computer

Mais cela ne s’arrête pas là. En effet, cette technique malicieuse misant sur une erreur humaine étant très récente, nous pouvons nous attendre à une évolution de celle-ci, ce qui pourrait entraîner une augmentation massive du nombre de victime. D’autant plus que les navigateurs web ne peuvent pas garantir une protection contre cette dernière, même avec un « https » en début d’URL. Il faut donc s’assurer d’une vigilance hors pair et de tout mettre en œuvre s’en protéger 😉  

 Comment identifier la fraude ?

Vous l’aurez compris en lisant cet article, les attaques Browser in the Browser sont très difficilement détectables. Face une usurpation d’identité allant jusqu’au visuel et au lien URL, il serait logique de penser que cette arnaque soit impossible à identifier. Pourtant, il existe quand même certaines failles qui peuvent vous permettre de démêler le vrai du faux. Selon le chercheur à l’origine de la détection de cette pratique, il existe deux principaux moyens pour déceler une telle attaque : 

  • Essayer de redimensionner et de déplacer la fenêtre sur votre écran
  • Utiliser un gestionnaire de mots de passe

En effet, de par leur codage, ces fenêtres ne peuvent pas être manipulées ou étendues à l’inverse des fenêtres d’identification authentiques. De plus, toujours à cause du codage, un gestionnaire de mots de passe habitué à remplir automatiquement vos identifiants, ne pourra pas reconnaître ces fenêtres et ne pourra donc pas fonctionner sur ces dernières. 

Voici un exemple que Mailinblack a créé pour vous permettre de mieux visualiser cette attaque : 

Cyber Coach, la première solution sur le marché qui sensibilise les collaborateurs à cette attaque

Vous l’aurez compris, l’attaque Bitb représente une réelle menace pour les organisations. Cyber Coach permet ainsi d’entraîner vos collaborateurs en envoyant des campagnes de simulations de Bitb, en quelques clics, rapidement et simplement !  Tout comme la création d’une simulation de Phishing ou Ransomware, choisissez le type d’attaque « Phishing Browser-in-the-browser » et créez votre propre simulation d’attaque personnalisée, adaptée à votre organisation ! 

Grâce à cet outil, vous serez en mesure de connaître les comportements à risque qui mettent en danger la sécurité informatique de votre organisation, et d’y remédier en les sensibilisant 

Si vous souhaitez en savoir plus sur l’usurpation d’identité et le phishing, tout en formant vos équipes à la détection des cyberattaques véhiculées par email, n’attendez plus et renseignez-vous sur notre solution Cyber Coach (anciennement Phishing Coach).

Justine chouchoute la communication de Mailinblack ! Organisation d'événements et management de projets, c'est sa priorité :)

Logo
Logo
Nos experts vous accompagnent
gratuitement dans votre projet de cybersécurité

saisissez votre numéro de téléphone