Banner
Banner
Banner

Sécurité : attention au tabjacking !

Par - le mai 26th, 2010

Une nouvelle technique de phishing vient d’être découverte et le moins qu’on puisse dire, c’est qu’elle mérite toute notre attention. Son nom? Le Tabjacking.

facebookphishing

Celle-ci affecte Firefox et Chrome. Le Tabjacking repose sur un script javascript qui, lorsqu’on ouvre un nouvel onglet, nous renvoie vers une fausse page d’authentification (gmail, facebook, etc.). Après que vous ayez gentiment entré vos identifiants, le script vous connecte sur le vrai site en ne manquant pas au passage de vous avoir volé vos identifiants. Quand on sait qu’un compte facebook, par exemple, se revend ensuite entre 300/400€…

L’explication en vidéo :

 

Plus que jamais faites donc attention. Jetez toujours un œil à votre barre d’url afin de vous assurez que vous êtes bien sur la page du site demandé.

Via Korben et Downloadsquad

Tags: , , , , ,

8 commentaires to “Sécurité : attention au tabjacking !”

    jason :

    c’est énorme oO’
    celui qui y a pensé est un génie ^^

    Romain :

    Pas mal ! mais je me demande comment le script malicieux nous infecte ? par une application web ? lien malveillant ? si quelqu’un sait.

    TimCruz :

    Il ne t’infecte pas, il est exécuté dans un site. Par exemple, je peux décider d’exécuter le script sur http://geekdefrance.fr (pas de panique, je vais pas le faire) et ainsi lorsque tu visionnerais http://geekdefrance.fr et ouvrira un nouvel onglet hameçonnage va se lancer. Est-ce plus clair?

    Le javascript est très présent dans les sites actuels, menu, fonctions, etc…

    Plume :

    je ne comprends pas du tout, désolée:
    il ne faut pas avoir les droits sur un site pour exécuter ce script, faire en sorte qu’il s’ouvre à partir de ce site-là? Par exemple, je ne pourrais pas l’exécuter sur Gdf, mais toi si? Ou alors est-ce que ça implique de profiter d’une faille de sécurité du site? Ou enfin une vicissitude des admin/créateurs/chefs d’entreprise eux-mêmes?

    TimCruz :

    2 cas de figure :
    – Cas 1 : je suis un vilain méchant et je cale ce script sur mon site pour pirater les données perso
    – Cas 2 : je suis victime d’un vilain hacker pas beau qui rajoute ce bout de code à mon site sans que je m’en rende compte

    Romain :

    Ah oui j’aurais dut y penser ! merci TimCruz. effectivement ce script peut etre facilement etre en place une fois le site prise en main, donc webmaster attention aux failles de securites. Cordialement

    Plume :

    oki, je comprends! merci! il y a de quoi devenir parano!

    Bloghissimo :

    Ottimo articolo! 😉

Laissez un commentaire

Catégorie(s): Divers, Software