Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

Le plein écran HTML5 exploité dans un phishing

Le plein écran HTML5 exploité dans un phishing

Sur ce site, vous trouverez un exemple assez impressionnant ainsi qu'une explication détaillée d'une nouvelle attaque de phishing qui exploite l'API Fullscreen du HTML5 et une faiblesse du cerveau humain.

Avec à un lien tout à fait normal et vu comme tel par l'internaute, l'attaquant peut intercepter le clic grâce à un code Javascript et afficher en plein écran un faux navigateur fabriqué de toutes pièces grâce à des captures-écran de navigateurs et correspondants bien à l'OS sur lequel vous êtes actuellement. On y retrouve tous les détails qui rassurent, y compris le petit cadenas SSL qui va bien.

Il est difficile de remarquer le changement si on n'est pas très concentré et la plupart des cobayes ont trouvé cela tout à fait normal.

Cette technique de phishing HTML5 est capable de faire de gros dégâts sur les gens sensibles à la cécité au changement (Tout le monde ?). Allez lire, c'est passionnant !

Tous les détails sont ici.

Merci à Santiago pour l'info.

Photo


Facebook Twitter Email Copier Url

26 Responses to “Le plein écran HTML5 exploité dans un phishing”

  1. bquille dit :

    Voila qui donne une utilité aux plugins de personnalisation des navigateurs par ce que même avec une représentation lacunaire faite de détails partiels faite par mon cerveau, il faut bien avoué que le navigateur présenté est très différent de mon firefox ‘tuner’ a fond ;)

    Si non c’est peut être pour parer à ce type d’attaque que firefox fait apparaitre un message d’alerte dans une fancy box noir quand on passe en mode plein écran…

  2. LittleGecko dit :

    Impressionnant ! Bon perso, le nom du site dans la barre de confirmation me permet de déceler rapidement le phishing, par contre mes parents ou toute personne non aguerrie…

  3. Aironeforce dit :

    Y’a quand même un gros fail dans leur technique. IE ne gère pas cette partie html5, chrome et firefox donne une alerte quand on passe en plein écran.

  4. Daikyoka dit :

    Oh croyez-moi, beaucoup ne comprendront même pas cette alerte ! Pour en connaître je vous le garanti !
    “C’est quoi ça ? Je sais pas, peu importe je suis sur le site de ma banque. Alors… Mes identifiants… Où est le post-it où j’ai écrit mes identifiants ?”

  5. Biganon dit :

    Tu penses vraiment que le ptit vieux lambda va faire attention au message d’alerte ? … C’est bel et bien du phishing, bien des gens pourraient se faire baiser par ça.

  6. PaulF dit :

    Bah déjà j’ouvrez, comme d’hab, dans un nouvelle onglet le lien.. du coup, j’étais vraiment sur le site… mais non, ça se voit trop, j’ai plusieurs onglets d’ouvert, y’en a plus qu’un, y’a un message “fullscreen” qui apparaît.. ça fait beaucoup d’indice ! mais ok, des personnes peu averti qui font pas attention se ferait avoir … !

  7. C’est con, mais moi quand j’ouvre un lien (n’importe le quel hein) j’ai le réflexe de l’ouvrir dans un nouvel onglet, donc c’est raté. En plus Chrome dit qu’on est passé en plein écran.

  8. toto dit :

    D’où l’intérêt d’avoir des thèmes tout moches.

  9. vlmath dit :

    Impossible avec mon Opera ;) Le site ne le supporte pas apparemment.
    Encore un élément qui fait que j’aime Opera …

  10. GoustiFruit dit :

    Ouais, j’attends qu’ils émulent mes Visual Tabs et l’interface bien customizée de mon Opera et alors je commencerai à me faire du soucis.
    Par contre c’est sûr, mes parents tomberaient dans le panneau :-

  11. Tryphtik dit :

    apparemment il a oublié (ou négligé) de faire des captures sous winXP et il affiche des captures Vista à la place… il manque aussi la barre des taches.
    sinon, c’est vrai qu’avec un peu plus de soin dans la réalisation, ce genre de technique pourrait faire beaucoup de mal.

  12. Cédric dit :

    Sous Ubuntu on voit le nom d’une autre personne en haut à droite. le format de l’heure est américain et il y a un gros tag qui dit qu’on est en plein écran.
    C’est vrai pour quelqu’un qui ne fait pas attention ça peut être terrible.

  13. Napo dit :

    Cette technique est vieille comme le monde, elle a juste été adaptée pour être compatible HTML5 . Aucune nouveauté, le phishing reste une attaque basique, n’importe qui peut la mettre en place.

  14. Daikyoka dit :

    Une alerte détaillée est même présente dans les PDF “En passant en plein écran vous pourriez être abusé par un faux site Internet, voulez-vous passer en plein écran ?”. Sauf que là nous sommes dans un navigateur donc la technique consiste à reproduire le navigateur pour masquer l’adresse.

  15. Endzakiel dit :

    Rien d’extraordinaire en fait. Il y a tellement d’alerte qu’on vois tout de suite le truc. De plus, même sans alerte du navigateur, cela se vois quand même bien qu’on passe en plein écran.
    Disons que ça peut être dangereux pour mamie du canton et Mr pebkac qui utilise son pc une fois tout les mois. Ils penseront que c’est leur navigateur qui a eu un bug et continuerons leur navigation.

  16. lainIwakura dit :

    1) j’ai toujour genre 50-60 onglet ouvert
    2)il y a un gros popup ‘machin.com’ est affiché en pleine écran
    3)les couleur de mon theme firefox ne sont pas respécté
    4) il manque mes addon

  17. Totonyus dit :

    J’ai essayé sous Firefox (parce que Opera n’est pas pris en charge) sous Ubuntu, et c’est très peu crédible.

    Après, sous windows ça peut être bien plus réaliste.

  18. Garral dit :

    Ouch ! C’est vrai que pour les papys (et les non pro) c’est assez craignos.
    En dehors du fait d’être concentré et de connaître les réactions de sa machine y a t il un moyen de sécuriser celà ???

  19. exa dit :

    Dommage j’utilise waterforx et chromium avec theme donc leur screen sont pas les bons pour moi :).
    Et je suis pas sur que tous le monde se ferait avoir, je vois bien un débutant peter en cable en croyant que ca lui a fermé tous ses onglets

  20. dub dit :

    D’où l’intérêt de customiser son OS et de skiner son navigateur : on voit directement que les couleurs par défaut reviennent et notre cerveau ne se fait pas avoir. Si l’on rajoute l’avertissement de Google Chrome qu’un site dont l’Url n’a rien à voir avec ladite banque s’ouvre en plein écran ; faut vraiment être aveugle pour se faire berner :)

  21. Datawolf dit :

    Moi qui considérais les skins et autres thèmes comme du gadget… bien vu !

  22. Azoth dit :

    troll on
    Au moins avec Opera on est en sécurité, il ne supporte même pas l’API
    troll off

    J’adore Opera :)

  23. Johnny dit :

    L’affichage est tout buggé avec mon Windows Manager tilling (StumpWM).
    L’API qui gère le plein écran est pas encore implémenté sous les deux navigateurs Web que j’utilise (Opera, Jumanji).

    J’ai testé sous firefox, il me gratifie d’un énorme message au milieu de la page “Press Escape to exit fullscreen mode”.

    Je suis safe de mon côté. Faudra que je jette un oeil sur un environnement Windows.

  24. Biganon dit :

    A tous ceux qui disent que caynul et que vous seriez pas tombés dans le panneau : félicitations, voilà un cookie.

    Le phishing a pas pour but d’être chirurgical, c’est des arnaques de masse et un pourcentage non négligeable des utilisateurs tomberaient dans le panneau. Ok, pas vous parce que vous êtes des roxxors avec votre thème Boxxy, mais votre grand-mère peut-être, et je pense qu’elle a plus de simflouzes à la banque que vous.

  25. NK dit :

    Je pense qu’il serait plus efficace de simuler les popup google + ou facebook qui s’ouvrent en cliquant sur les boutons like ou recommandation etc
    Ca évite de gérer les barre des tâches, favoris, addons et j’en passe.
    C’est peut être pas une banque mais une adresse gmail, ça peut être intéressant.

La menace des failles 0-Day

capture-vjhj

"En avril 2014, les chercheurs en sécurité de Google sont tombé sur une vulnérabilité présente à l’intérieur de la bibliothèque cryptographique OpenSSL. Petit problème, OpenSSL est utilisé sur les 2/3 des sites web qui utilisent HTTPS mais aussi par les téléphones Android. Heartbleed était né."

Si comme moi vous êtes un passionné de sécurité informatique et que vous vous demandez qu'est-ce qu'un truc comme Heartbleed peut causer comme dommages, la lecture de cet article sur les failles 0-Day est pour vous...et je vous rassure je ne parle pas du dernier film Blackhat récemment vu au ciné ;)

Lire la suite

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 55229 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 55229 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  •  
  • Site hébergé par
    Agarik Sponsor Korben
  • Univers Populaires

  • Rejoignez les 55229 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Vidéos

  • DANS TON CHAT (BASHFR)

    <Planetary> 'tain mais j'ai cette capacité dès que je vois un appareil photo à concentrer ma mocheté de toute ma puissance pour qu'elle apparaisse comme une aura sur la pellicule.

    -- http://danstonchat.com/3323.html
  • Une astuce pour rendre

    Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin. Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé...lire la suite

    Cryptool pour s'initier à la cryptographie

    Alors attention, ce n'est pas nouveau, mais je me suis dit que ce serait intéressant de vous en parler si vous ne connaissez pas encore. Cryptool est un logiciel open source éducatif qui va vous permettre de comprendre les principes de base de la cryptographie. Dans sa version 2, Cryptool intègre...lire la suite

    En ce moment dans l'univers "Windows"

    Voir tous les articles »