Vous voulez en savoir plus sur Tabnabbing ? Voici des billets qui vous permettront d'en savoir plus

27
Mai

La nouvelle méthode de Phishing : le Tabnabbing

Vous connaissez la meilleure méthode pour obtenir des informations confidentielles ? Simplement en les demandant à leurs propriétaires.

Pour rappel, la méthode de phishing consiste à vous suggérer un site via un lien, un mail ou un programme. Ce dernier vous demande des informations comme votre nom, vos coordonnées, vote mail et en général un mot de passe. Vous validez en pensant confirmer une inscription classique et vos informations finissent dans la base de données du pirate. Les antivirus 2010 ne peuvent rien faire et la sécurité; sur internet est remise en question. Et comme le plus souvent, les personnes lambda utilisent le même mot de passe pour tout, le pirate à de fortes chances de s’emparer de votre mail et par conséquent s’ouvre à une grande majorité de vos ressources comme des comptes de jeu, des comptes de site d’achat en ligne où vos coordonnées bancaires sont déjà rentrées, etc …

Des méthodes plus sournoises consistent à vous donner un lien d’un site que vous connaissez bien mais en réalité, en pensant vous connecter comme d’habitude, vous donnez à nouveau vos données. Dans ce cas, il faut faire attention à la barre d’adresse (URL). Par exemple si vous voulez vous connecter sur www.gmail.com et que finalement vous remarquez que vous êtes sur www.gnail.com il y a de fortes chances que ce soit le jackpot.

A la limite, cette méthode peut être facilement évitée si on fait un peu attention à ce qu’on fait et où l’on va.

Malheureusement, une nouvelle méthode a été dévoilé. Elle est bien plus sournoise. Je vous laisse regarder la vidéo et je reviens dessus après.

Pour les non anglophones, voici quelques explications. Cette nouvelle méthode se base sur le fait que vous ayez plusieurs onglets d’ouverts (en anglais les Tabs). Quand vous naviguez dans vos onglets, une page se recharge, se rafraichie, en gardant la même url, vers une page de phishing. Vous pensez vous identifier mais en fait, une nouvelle fois, vous renseignez le pirate.

Bref, méthode très sournoise pour laquelle des solutions sont toujours en attente.