Une nouvelle façon de mener des attaques de phishing est adoptée par des groupes criminels – et cela pourrait rendre les acteurs de la menace pratiquement indétectables, avertissent les chercheurs en sécurité.

La technique consiste à utiliser des services de «tunnel inversé» et des raccourcisseurs d’URL pour lancer des attaques de phishing à grande échelle. De plus, les groupes utilisant ces techniques ne laissent aucune trace.

Au lieu de cela, les pirates peuvent utiliser leurs machines locales pour héberger des pages de phishing sur des URL aléatoires. Ceux-ci peuvent aider à échapper à la détection par les services d’analyse d’URL. Les groupes peuvent ensuite masquer davantage leur identité à l’aide de services de raccourcissement d’URL.

Au fond du trou

Les attaquants n’exploitent pas une vulnérabilité au sens technique. Au lieu de cela, ils abusent de services légitimes prêts à l’emploi pour contourner les mesures anti-hameçonnage. Les services associés à la technique incluent bit.ly, Ngrok et Argo Tunnel de Cloudflare.

L’attaque a été détecté par les chercheurs en sécurité de CloudSEKqui a constaté que la méthode était utilisée pour cibler les clients des banques indiennes.

Ici, les attaques de phishing tentaient de duper les clients pour qu’ils transmettent leurs coordonnées bancaires, leur numéro Aadhaar (identité nationale indienne) et d’autres informations sensibles.

RATTRAPER Apple présente une technologie de sécurité de nouvelle génération à la WWDC 2022

« Nous l’avons découvert lorsque nous surveillions Internet à la recherche d’actifs, d’usurpations d’identité et de données liés à nos clients », a déclaré Darshit Ashara, chercheur principal sur les menaces chez CloudSEK. La gorgée quotidienne.

« Au cours de nos recherches régulières, nous avons commencé à remarquer des schémas d’abus de plusieurs services de tunnels inversés. »

Bien que CloudSEK ait détecté des tentatives de phishing contre des clients de banques indiennes, la technique a également été utilisée aux États-Unis, au Royaume-Uni et en Europe.

« Les attaques par tunnel inversé sont devenues assez courantes ces jours-ci », a ajouté Ashara. « Le modus operandi des acteurs de la menace utilisant le tunneling inverse comprend l’envoi de spam par SMS avec des URL de phishing raccourcies à l’aide de services de raccourcissement d’URL populaires.

« Nous avons observé que cette technique était utilisée pour cibler la plupart des grandes marques et organisations. »

Attaques de tunnel inversé et de raccourcissement d'URL

Caché dans l’ombre

Les tunnels inversés permettent aux groupes criminels d’échapper à certaines des contre-mesures les plus efficaces.

L’une des façons dont les groupes de phishing sont capturés est leur dépendance à l’égard des fournisseurs d’hébergement et leur utilisation de domaines qui, selon CloudSEK, « usurpent l’identité d’entreprises ou de mots clés ciblés ».

Même lorsqu’il n’y a pas suffisamment de preuves pour que les forces de l’ordre s’en prennent aux groupes de phishing, les hébergeurs supprimeront les domaines falsifiés.

L’utilisation de domaines avec des mots clés « aléatoires ou génériques » offre une certaine protection aux attaquants, car ils ne peuvent pas être signalés pour violation de marque. Mais les cybercriminels peuvent utiliser des tunnels inversés pour contourner complètement l’hébergement en stockant les fichiers binaires de phishing sur rien de plus qu’un PC local.

L’ajout d’un raccourcissement d’URL en haut rend encore plus difficile le traçage de l’attaque et peut rendre les victimes plus susceptibles de tomber dans le piège des escroqueries. Ajoutez à cela le fait que la plupart des URL de tunnel inversé sont temporaires – ne fonctionnant généralement que pendant 24 heures – et l’attribution et la poursuite deviennent encore plus difficiles.

Surveillance améliorée

CloudSEK demande une meilleure surveillance des services de tunnel inverse. Ngrok, par exemple, demande désormais à ses utilisateurs de divulguer leurs adresses IP et de s’enregistrer avant d’héberger du contenu HTML, tandis que Cloudflare demande aux utilisateurs de créer un compte.

Le raccourcissement d’URL est plus difficile à surveiller, car il n’y a pas d’activité malveillante réelle : ils redirigent simplement les utilisateurs vers un site Web. CloudSEK admet cependant que la découverte d’attaques dépend de la surveillance par des tiers.

Les entreprises ciblées peuvent alors devoir s’appuyer sur l’éducation des utilisateurs pour lutter contre ce vecteur d’attaque.

« En fait, il s’agit d’un autre canal pour les attaques de phishing – la principale différence est l’attribution », a déclaré Chris Preece, responsable des cyber-opérations au sein du cabinet de conseil en gestion des risques numériques Protection Group International.

« Si un domaine est enregistré auprès d’un fournisseur d’hébergement, il peut répondre aux plaintes et supprimer un site Web, mais avec les tunnels inversés, le fournisseur de tunnel inversé n’a aucune responsabilité à cet égard, ce qui signifie qu’il est potentiellement plus difficile à supprimer. Combinez cela avec un raccourcisseur d’URL, cela peut être très efficace.

« Cela va sembler cliché, mais le conseil que nous avons est de doubler la sensibilisation au phishing pour réduire la probabilité que quelqu’un clique sur un lien malveillant. »