In-session phishing
Le in-session phishing consiste, comme l'hameçonnage, à récupérer des informations confidentielles chez la cible en lui faisant croire que sa banque ou un autre organisme de confiance lui demande ces informations sensibles.
Principe
Durant l'utilisation d'un site de confiance sĂ©curisĂ©, une fenĂȘtre pop-up s'affiche invitant l'internaute Ă rĂ©inscrire son identifiant et son mot de passe. Une fois les informations validĂ©es, l'instigateur de l'attaque peut les rĂ©utiliser[1].
Fonctionnement
Ce type d'attaque utilise, gĂ©nĂ©ralement, un script JavaScript. Il est techniquement possible pour un script JavaScript de dĂ©clencher une action si le site prĂ©dĂ©terminĂ© est visitĂ© en mĂȘme temps que le site contenant le script. Si c'est le cas, le script JavaScript se dĂ©clenche et ouvre la pop-up. Cette attaque est notamment basĂ©e sur la faille de Cross Site Scripting.
Références
Voir aussi
Articles connexes
- Hameçonnage
- Usurpation d'identité
- Ingénierie sociale (sécurité de l'information)
- Authentification forte
- DKIM, technologie de lutte contre l'hameçonnage
- Pharming
- Spear phishing
- Vulnérabilité des services d'authentification web