In-session phishing

Durant l'utilisation d'un site de confiance sécurisé, une fenêtre surgissante (pop-up) s'affiche invitant l'internaute à réinscrire son identifiant et son mot de passe. Une fois les informations validées, l'instigateur de l'attaque peut les réutiliser^[1].

Ce type d'attaque utilise, généralement, un script JavaScript. Il est techniquement possible pour un script JavaScript de déclencher une action si le site prédéterminé est visité en même temps que le site contenant le script. Si c'est le cas, le script JavaScript se déclenche et ouvre la pop-up. Cette attaque est notamment basée sur la faille de Cross-site scripting.

• Hameçonnage
• Usurpation d'identité
• Ingénierie sociale (sécurité de l'information)
• Authentification forte
• DKIM, technologie de lutte contre l'hameçonnage
• Pharming
• Spear phishing
• Vulnérabilité des services d'authentification web

• (fr) Une nouvelle technique pour le vol de données personnelles : Le "in-session phishing" ou les "pop-ups vicieuses"

•   Portail d’Internet
•   Portail de l’informatique