Jaboin Conseils, des idées qui vous accompagnent
Services Réalisations Partenaires Contact Plan du site
         
   
Jaboin Conseils. Services Internet: Info - Phishing Pop-up. Lundi 13 décembre 2004.
   


Info
Jaboin-Conseils-Services
Référencement
Audit
Formation
Suivi de Projet
Infos
Editos
 

Lundi 13 décembre 2004

Phishing - Pop-upPhishing : la Pop-up hameçon


Nous savons à quel point le Phishing fait des ravages. Cette arnaque, qui consiste à piéger l’Internaute en lui faisant croire qu’il reçoit un mail de sa banque, coûterait aux banques plus de 1,2 milliard de dollars par an.

Secunia démontre qu’il est vraiment très facile de berner le client d’une banque. Sur son site Internet (1), la société danoise de sécurité Internet vous propose de cliquer sur un lien vous redirigeant sur la célèbre banque "CitiBank".

En cliquant sur une des images du site de l’établissement bancaire, une pop-up s’ouvre avec un contenu qui lui est propre. Jusqu’ici rien de plus normal. C’est par la suite que la démonstration devient probante : une seconde pop-up s’ouvre, mais cette fois-ci avec du contenu contrôlé par Secunia.

Il est tout à fait imaginable que des pirates fassent afficher cette seconde pop-up avec le design de la banque, alors que c’est eux qui en contrôlent les données. Toute information qui y serait rentrée pourrait être récupérée par des personnes malveillantes.

Jaboin Conseils a étudié le code de la page correspondante. En fait la technique est véritablement simplissime. Il suffit de diffuser un Spam au format HTML au contenu identique en tout point avec le site bancaire visé. Le lien y redirigeant déclanche un programme composé de quelques lignes de code (javascript) qui sera exécuté par le navigateur. Ce dernier ouvrira la Pop-up selon les conditions édictées par le code (délai, adresse du contenu de la Pop-up…).

Dans l’exemple donné par Secunia, il est nécessaire d’ouvrir une première Pop-up sur le site de CitiBank. Et bien sur, cela ne marche qu’en passant d’abord par la page HTML de Secunia prévue à cet effet.

Les banques n’ont pas fini de combattre le Phishing. Certaines communiquent sur ce sujet dés leur page d’accueil. Par exemple, "SunTrust" y consacre une partie de son site où l’on peut voir des exemples de faux mails envoyés à ses clients (2).

Le Phishing étant plus une arnaque qu’une prouesse technique de hacker surdoué, l’information est certainement la meilleure arme pour le combattre.

 


(1) http://secunia.com/multiple_browsers_window_injection_vulnerability_test/

(2) http://www.suntrust.com/alert/index.asp

 

Voir aussi :
Bots : petit Phishing, grosse prise

 

Toutes les infos

 

© Olivier Jaboin - Jaboin Conseils

 

 

 

 

 

 
    Accueil | Services | Réalisations | Partenaires | Contact | Plan du site