Le célèbre Steam n'a pas été épargné ces vingt dernières années par les arnaques et autres piratages des escrocs du Web. Mais depuis quelques mois, les hackers font appel à la technique dite du phishing « Browser-in-the-Browser » ou BitB, qu'on peut littéralement traduire par « navigateur dans le navigateur ». Cette technique consiste à dérober les informations d'identification des utilisateurs de la plateforme de jeux vidéo en leur soumettant une copie quasi-parfaite d'une page Steam. S'il existe bien des « trucs » pour détecter la fausse page, le procédé est diablement efficace.
Des pirates qui appâtent les joueurs avec des propositions ou des événements attractifs
Cette technique de phishing, récente, fut découverte au début de l'année par le chercheur mrd0x. Les pirates l'utilisent en créant une fausse fenêtre de navigateur, mais pas un « navigateur » au sens propre, plus ici une fenêtre de navigation associée à un service qui peut être une page Facebook, Google, Outlook ou encore Steam. Si l'on compare la fenêtre imitée à la vraie, il est quasi impossible de les dissocier.
Dans le cas de Steam, qui utilise une fenêtre contextuelle pour aider ses utilisateurs à s'authentifier plutôt qu'un nouvel onglet, les hackers ont vu une opportunité. L'arnaque a été identifiée sur la plateforme du groupe Valve par le groupe de surveillance informatique Group-IB, qui a évidemment prévenu l'éditeur de la menace.
La question que tout le monde se pose à présent : comment attirer les victimes vers une fausse page web qui contient un bouton de connexion ? Avec Steam, les pirates ont compris qu'il fallait appâter les joueurs avec des propositions attractives. Ils leur envoient alors des messages en leur proposant par exemple de rejoindre une équipe pour participer à un tournoi de League of Legends (LoL), de Counter Strike, de Dota 2 ou PUBG. D'autres propositions, comme la possibilité de voter pour son équipe préférée ou d'acheter des billets à prix réduit pour des événements de e-Sport, sont aussi relayées auprès des utilisateurs.
Il existe aussi le cas où les viewers d'une vidéo YouTube soi-disant diffusée en live (mais en fait enregistrée) ont pu être invités à cliquer sur un lien présent en description pour obtenir un skin gratuit dans CS:GO. Le site web de phishing s'affichait également à l'écran.
Une technique qui éteint tous les soupçons (ou presque) rencontrés dans le phishing « traditionnel »
Group-IB nous explique que tous les boutons (ou presque) des pages web appâts ouvrent directement un formulaire de saisie de données de compte qui imite évidemment une fenêtre Steam légitime, avec un faux signe de verrouillage vert et un faux champ d'URL qu'il est possible de copier. Les pirates ont même imité la fenêtre d'authentification à double facteurs de la plateforme, Steam Guard, pour étendre leur champ d'action.
Alors qu'habituellement, les pirates essaient de pousser les victimes à ouvrir des pages web de phishing dans un nouvel onglet, les attaques Browser-in-the-Browser ouvrent une fausse fenêtre de navigateur directement dans le même onglet, ce qui peut plus facilement convaincre les utilisateurs que la page est bien légitime. Autre coup de force des hackers : la fenêtre illégitime permet même de basculer d'une langue à une autre, 27 étant au total proposées. Elles sont toutes fonctionnelles et la langue initiale est même choisie de façon automatique, grâce aux préférences du navigateur.
Sur la capture d'écran proposée par Group-IB, on note que l'URL contenue dans la barre d'adresse de la fenêtre contextuelle est identique à celle du lien légitime. C'est aussi une vraie différence par rapport au hameçonnage traditionnel, où l'URL affichée est différente de l'URL légitime, ce qui éveille plus facilement les soupçons.
Autre différence notable : la certification SSL. Dans un cas de phishing classique, la ressource à l'origine de la page illégitime ne peut pas émettre ce certificat. Et malheureusement, le phishing du navigateur dans le navigateur offre la possibilité au pirate d'afficher le petit cadenas verrouillé de sécurité.
Comment peut-on détecter ces fausses fenêtres ?
Si la fenêtre est fausse, les boutons servant à la réduire et à la fermer fonctionnent, ou tout du moins donnent lieu à une action, ce qui renforce la crédibilité de la technique. Très souvent, les pages de phishing BitB vont même jusqu'à contenir une alerte visant à informer les utilisateurs sur les données enregistrées par la ressource tierce, ce qui est assez pervers mais qui, ici aussi, renforce l'impression d'être sur une fenêtre Steam légitime.
Une fois les données d'identification saisies par la victime, celles-ci sont directement envoyées aux cyberattaquants. Si la personne piégée a protégé son compte à l'aide de l'authentification renforcée, la ressource envoie alors une demande de code, code créé à l'aide d'une application distincte, qui envoie une notification push à l'appareil de la victime. Une technique qui va loin donc, mais qui n'est pas totalement infaillible.
Il est en effet possible d'identifier une fausse fenêtre de navigateur, de plusieurs façons :
- On le voit sur la dernière capture d'écran, mais la conception de l'en-tête et la barre d'adresse de la fenêtre contextuelle sont légèrement différentes. Veillez à bien regarder la police d'écriture ou le design des boutons de commande, qui peuvent être légèrement différents des originaux.
- Pensez toujours à vérifier si une nouvelle fenêtre s'est bien ouverte dans la barre des tâches. Si ce n'est pas le cas, alors c'est que la fenêtre est fausse.
- La taille de la fenêtre est sans doute l'élément le plus efficace. Essayez de la redimensionner. Si vous n'y parvenez pas, c'est qu'elle n'est pas légitime. Même chose d'ailleurs en essayant de déplacer la fenêtre. Si vous ne pouvez pas la déplacer sur les éléments de contrôle de la fenêtre initiale, c'est qu'elle est fausse.
- Le cas échéant, vous vous apercevrez qu'une fenêtre est fausse si le clic sur le bouton « réduire » de cette dernière la ferme purement et simplement.
- Nous vous parlions tout à l'heure du certificat SSL. Dans le cas d'un phishing BitB, le symbole de verrouillage n'est en fait qu'une banale image. Vous le remarquerez en cliquant dessus, puisque rien ne se passera. Un vrai navigateur vous laisse l'accès aux informations du certificat sur un simple clic.
- Une fausse barre d'adresse n'est par principe pas fonctionnelle, donc elle ne vous permettra pas de saisir une URL différente. Et si malgré tout vous y parvenez, vous remarquerez qu'il sera impossible de l'ouvrir dans la même fenêtre.
- Enfin, si vous prenez la peine de désactiver l'exécution des scripts JavaScript depuis les paramètres de votre navigateur, vous ne pourrez pas afficher les fausses fenêtres.
Source : Group-IB
