Les menaces informatiques ne cessent d’évoluées et les techniques utilisées aussi.
Une technique qui existe depuis quelques mois qui consistent à utiliser le plein écran des navigateurs internet pour tromper les internautes.

Voici une présentation rapide de cette technique de plein écran utilisée pour pousser des arnaques ou dans des tentatives de phishing.

Phishing et plein écran des navigateurs internet

Le plein écran des navigateurs internet permet de passer une page sur la totalité de l’écran de l’ordinateur.
La barre des tâches de Windows n’est plus visible et le navigateur internet utilise toute la surface de l’écran.
La touche F11 permet le passage en plein écran et la touche ESC pour revenir en affichage normal.

Le plein écran est utilisé par divers sites de phishing pour tromper les internautes, voici quelques une de ces méthodes.
Le gros avantage qu’il offre et qu’il masque la barre d’adresse et donc le site sur lequel vous êtes.
Par exemple sur cette page d’ arnaques de support téléphonique, le plein écran permet de faire croire à un message d’erreur de Windows et de Windows Defender.

Prévenir de la fermeture

Une des premières utilisations consiste à utiliser le basculement du plein écran au moindre clic sur la page afin de prévenir de la fermeture.
Cette technique est utilisée pour forcer l’installation d’extension parasite sur Chrome et Firefox mais aussi par les arnaques de support téléphonique.
Cela augmente les difficultés pour l’internaute de fermer la page malveillante.
Voici une image qui montre ce basculement incessante en plein écran.

Ci-dessous, une fausse page pour faire installer une extension Firefox à travers une fausse mise à jour.
Là aussi le plein écran est utilisé.

Tromper l’internaute sur le site visité

Cette technique consiste à utiliser le plein écran avec une image d’un navigateur internet qui comprend une barre d’adresse falsifiée.
Dans cette barre d’adresse, se trouve l’adresse du site pour lequel l’arnaque tente de se faire passer.
Cette technique est utilisée par le ransomware Browlock qui tente de se faire passer les autorités mais aussi les arnaques de support téléphonique qui tentent de se faire passer pour Microsoft en affichant des messages d’erreur bidons.

Dans le cas de Browlock, on obtient un faux site de la police nationale, si l’on regarde l’image ci-dessous, on a bien une URL en police-nationale.interieur.gouv.fr alors qu’en réalité la page provient d’un autre site.

Le plein écran masque l’URL du site visité et l’image utilisé avec la fausse barre d’adresse devient alors visible en haut.
Cela permet de faire croire que l’on est bien sur le site sur lequel on tente de se faire passer.
Dans l’exemple ci-dessous, on a même droit à une fausse barre des tâches de Windows qui d’ailleurs a été prise sur un Windows anglais.
On le voit à droite avec le format de l’horloge et le fait que la configuration régionale est en anglais (icône EN)

Si on enlève le plein écran sur une machine Linux, on voit bien la supercherie.
Tout en haut la vraie barre d’icône et menu de Linux.
En dessous, la vraie barre d’adresse du navigateur internet avec une URL bidon.
Et en dessous l’image du faux navigateur internet et barre de tâches de Windows.

Cette technique est assez redoutable, cependant je ne l’ai pas encore vu mise en pratique des phishing / hameçonage de banque, EDF ou autres, reçus par mail.

A noter qu’il existe aussi les attaques par BITB qui cherchent aussi à tromper l’adresse du site visité pour paraître légitime.

Les sites de streaming illégaux sont particulièrement vecteur de ces arnaques, plus d’informations sur ces menaces : Les sites de streaming et les virus