C’est un développeur du nom de James Fisher qui détaille sur son site, un nouveau type d’attaque phishing particulièrement complexe à contourner. Baptisé Inception, l’attaque reproduit l’apparence d’une page web en connexion sécurisée sur smartphone. Grâce à une simple capture de barre d’adresse – ici celle de la banque HSBC, le développeur explique comment il est possible de créer un véritable copycat du site, afin de coincer le visiteur dans un faux navigateur imbriqué dans Chrome, d’où le surnom d’Inception.
Une fois coincé dans ce Chrome parallèle, l’internaute navigue sur le faux site, à la vue de n’importe quel œil malveillant, susceptible d’espionner son activité en ligne. Une menace inquiétante, puisque s’il ne sait pas qu’il est espionné, l’internaute peut saisir des données personnelles et confidentielles le concernant, comme des mots de passe ou des coordonnées bancaires.
Pour contourner cette attaque, James Fisher préconise dès à présent aux ingénieurs de Google de forcer l’affichage de certains éléments graphiques, ce qui pourrait signaler la présence d’une vraie barre d’adresse cachée, et ainsi permettre sa réapparition. En attendant, pour les utilisateurs de Chrome, une méthode simple et plutôt efficace a été détaillée par le site 9to5Google. Il suffit de verrouiller puis de déverrouiller son téléphone sur la page suspecte. Deux barres d’adresse apparaissent alors l’une en dessous de l’autre : la vraie, et celle générée par l’attaque.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
