Menu Fermer

Le phishing par Browser-in-the Browser (BITB) : comment ça marche

Dans ce tutoriel, je vais expliquer le fonctionnement des attaques Browser-in-the Browser (BITB).
Il s’agit d’une méthode de phishing très vicieuse qui vise à voler des identifiants Google, Facebook, Steam, Microsoft, Twitter ou Apple.

Voici quelques explications sur cette méthode sophistiquée de Browser-in-the Browser (BITB) utilisée dans des attaques de phishing, comme toujours, une fois que vous avez compris le fonctionnement, vous avez moins de chance de vous faire avoir.

Phishing et arnaque : utilisation du plein écran sur les navigateurs internet

Le phishing par Browser-in-the Browser (BITB) : comment ça marche

L’attaque par Browser-in-the Browser (BITB) simule une fenêtre du navigateur internet dans le navigateur internet afin de contourner un domaine légitime, permettant ainsi de rendre les attaques de phishing plus difficiles à détecter.

Du phishing vise à exploiter l’authentification unique (SSO) ont d’ores et déjà été utilisés.
Pour rappel, ce dernier permet à un utilisateur de s’identifier sur un site avec un compte unique à partir d’un compte Google, compte Microsoft, Facebook, Steam ou Twitter.

Lorsqu’un utilisateur tente de s’identifier par ces méthodes, une popup s’ouvre pour terminer le processus d’authentification.
L’attaque BITB vise à reproduire tout ce processus en utilisant un mélange de code HTML et CSS pour créer une fenêtre de navigateur entièrement fabriquée.
La combinaison des fenêtres avec une iframe pointant vers le serveur malveillant hébergeant la page de phishing, et il est essentiellement indiscernable.

Le point problématique est que la fenêtre HTML reconstitué permet d’afficher une URL légitime.
Or, le premier réflexe de l’utilisateur est de vérifier l’adresse WEB (URL) pour s’assurer qu’il est bien sur le site légitime et non sur un site de phishing.
Comme le montre la capture d’écran ci-dessous entre la page de phishing à gauche et la page réelle à droite, il n’y a presque aucune différence.

Le phishing par Browser-in-the Browser (BITB) : comment ça marche

Cela rend donc les attaques Browser-in-the Browser (BITB) particulièrement efficaces.

En février 2020, Zcaler avait remonté une attaque visant les comptes Steam.
Par exemple sur ce faux forum CS:GO, la connexion reprend l’authentification par Steam.
Comme vous pouvez le constater l’URL qui s’affiche est la bonne et en HTTPS.

Le phishing par Browser-in-the Browser (BITB)

Comment se protéger des attaques Browser-in-the Browser (BITB) ?

Tout d’abord, il faut oublier la vérification de l’URL.
Il est possible de détecter que vous n’avez pas affaire à une véritable popup en vérifiant le comportement de celle-ci.
Par exemple, en déplaçant la fenêtre au bord de l’écran, lorsqu’il s’agit d’une véritable popup du navigateur elle se comporte comme telle et va s’ancrer.
Avec une page HTML, celle-ci sort de l’écran.
Mais cela reste assez difficile pour un utilisateur non confirmé.

De même, il est aussi possible de vérifier le code HTML mais là aussi c’est complexe.

Bref, ce n’est pas simple.
Pour limiter cette attaque, il convient de rester vigilant, ainsi :

  • Dans le cas d’un phishing par mail, vérifiez le contenu en amont et en cas de doute ne pas cliquer sur le lien
  • Vérifiez le contenu du site avant d’utiliser l’authentification unique
  • Le plus sûr est d’utiliser l’authentification unique que sur les sites connus