In-session phishing

Le in-session phishing consiste, comme l'hameçonnage, à récupérer des informations confidentielles chez la cible en lui faisant croire que sa banque ou un autre organisme de confiance lui demande ces informations sensibles.

Principe[modifier | modifier le code]

Durant l'utilisation d'un site de confiance sécurisé, une fenêtre pop-up s'affiche invitant l'internaute à réinscrire son identifiant et son mot de passe. Une fois les informations validées, l'instigateur de l'attaque peut les réutiliser^[1].

Fonctionnement[modifier | modifier le code]

Ce type d'attaque utilise, généralement, un script JavaScript. Il est techniquement possible pour un script JavaScript de déclencher une action si le site prédéterminé est visité en même temps que le site contenant le script. Si c'est le cas, le script JavaScript se déclenche et ouvre la pop-up. Cette attaque est notamment basée sur la faille de Cross-site scripting.

Références[modifier | modifier le code]

↑ (fr) Une nouvelle technique pour le vol de données personnelles : Le "in-session phishing" ou les "pop-ups vicieuses"

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Hameçonnage
Usurpation d'identité
Ingénierie sociale (sécurité de l'information)
Authentification forte
DKIM, technologie de lutte contre l'hameçonnage
Pharming
Spear phishing
Vulnérabilité des services d'authentification web

Liens externes[modifier | modifier le code]

(fr) Une nouvelle technique pour le vol de données personnelles : Le "in-session phishing" ou les "pop-ups vicieuses"

[1] (fr) Une nouvelle technique pour le vol de données personnelles : Le "in-session phishing" ou les "pop-ups vicieuses"

[1]