Une nouvelle méthode de piratage, aussi astucieuse qu’agaçante, fait actuellement le tour du web. Selon un rapport récent, des attaquants utilisent le Kiosque Mode de Chrome pour faire passer le navigateur du mode normal vers le mode en plein écran, vous forçant ainsi à entrer votre mot de passe Google. Une fois saisi, ce mot de passe est immédiatement volé par l’attaquant
Comment fonctionne alors cette Attaque ? Le rapport de OALabs décrit cette nouvelle méthode d’attaque pour voler les identifiants Google. Elle combine en réalité deux techniques : la premiere est le chargement d’une fausse page de connexion, c’est-à-dire, un script Windows charge une fausse page (non authentique) de connexion Google dans Chrome et active ensuite le Mode Kiosque. Cette fonctionnalité d’interface utilisateur affiche une page en plein écran et empêche donc la navigation vers d’autres programmes, similaire à ce que l’on voit sur les bornes de libre-service et les guichets automatiques.
La deuxieme technique combinée avec la premiere est le blocage de la saisie et certaines entrées : Même les utilisateurs avancés peuvent avoir du mal à contourner cette page, puisque certaines entrées comme F11 pour quitter le mode plein écran sont désactivées.
Sur la fausse page de connexion, la seule action possible devant l’utilisateur est d’entrer un identifiant et un mot de passe Google. Une fois ces informations saisies, un autre script les récupère et les envoie à un hacker distant. Dans le pire des cas, le hacker change immédiatement votre mot de passe, et vous déconnecte des services google, Gmail et de tous les autres comptes associés, y compris les services tiers utilisant la plateforme de connexion Google.
Comment éviter cette arnaque ? Les utilisateurs avertis de Windows peuvent contourner cette invite de connexion en utilisant le raccourci clavier Ctrl + Alt + Suppr pour accéder au Gestionnaire des tâches et fermer le navigateur. Cependant, cette combinaison d’outils est si directe et agaçante que même les utilisateurs expérimentés peuvent entrer leur mot de passe Google par réflexe.
Cet article a été modifié pour la dernière fois le 25 septembre 2024 16h20