Drive-By Pharming, un nouveau vecteur d'attaque pour le Phishing.

Par Rédaction, secuobs.com
Le 16/02/2007

---

Résumé : Quand la navigation sur une simple page web peut amener un utilisateur à divulguer à son insu ses informations confidentielles d'accès à des services en ligne de banque. - Lire l'article



Zulfikar Ramzan, explique sur le blog de la société Symantec qu'il a développé, conjointement avec Sid Stamm et Markus Jakobsson de l'université d'informatique de l'Indiana, un nouveau type d'attaque par Phishing.

L'attaque « Drive-By Pharming » ( lien ) est basée sur les travaux préalables de Jeremiah Grossman et T.C. Niedzialkowski qui ont été présentés lors des conférences Blackhat ( lien ). Voir à ce propos notre article sur les backdoors Javascript ( lien )

Concrètement les attaquants créent une page web incluant un code Javascript malicieux qui va se connecter sur l'interface web de votre routeur ou de votre point d'accès WIFI via une attaque de type CSRF (Cross-Site Request Forgery) ; l'exécution de ce code ne nécessite ni l'installation d'un programme tiers ni d'action de votre part autre que la visualisation de la page.

L'exploitation nécessite que le navigateur de la victime présente l'activation des fonctionnalités Javascript, soit 95 pour-cents des utilisateurs ; le compte permettant d'accéder à l'interface d'administration doit également être toujours associé au mot de passe par défaut. Cette deuxième condition est aussi assez habituelle, environ 50 pour-cents des installations ; il n'est pas rare que les utilisateurs ne connaissent même pas l'existence de cette interface et ses fonctionnalités.

Une fois authentifié, la deuxième partie de l'attaque consiste à modifier l'ensemble des paramètres de configuration liés à votre accès Internet et notamment les adresses IP des serveurs DNS qui seront délivrées à chaque client du réseau local via l'utilisation du protocole DHCP. Les attaquants peuvent alors spécifier l'adresse IP d'un serveur DNS, leur appartenant, qu'ils auront préalablement installé et configuré.

La dernière partie de l'attaque se résume à modifier les adresses IP des serveurs web des principaux sites banquaires du pays où réside la victime potentielle. Les faux sites sont installés sur un serveur web, appartenant lui aussi aux attaquants, et les entrées DNS sont modifiées de sorte à faire coïncider les URL des banques avec l'adresse IP de ce serveur web malicieux.

Ils ne restent plus qu'à attendre qu'un utilisateur veuille accéder à un service de banque en ligne ; il sera redirigé vers le faux site pour entrer ses informations de connexions, informations que les attaquants n'auront qu'à récupérer pour se connecter sur le site officiel de la banque de la victime.