Ransomware Cyber Security Email Phishing Internet Technology Lock Vault Protection 3d illustration

Le phishing ciblé obtient un nouveau crochet avec la validation des e-mails en temps réel

Lucas Morel

Les cybercriminels utilisent le phishing validé par précision pour échapper à la détection et à voler des informations d’identification.

Les escrocs derrière certaines campagnes de phishing de vol d’identification tentent d’augmenter leur taux de réussite par un ciblage sophistiqué.

Selon des chercheurs de Cofense, au lieu de défiltrer les messages de masse à une liste d’adresses e-mail qu’ils ont collectées ou achetées, ces acteurs de menace ciblent uniquement les adresses qui ont été vérifiées comme actives, légitimes et souvent à grande valeur.

Cofense appelle la technique du phishing validé par précision ou de la validation des e-mails en temps réel, et cela fonctionne comme ceci: lorsque quelqu’un qui tombe amoureux d’un terrain tente d’accéder à la page de phishing de l’escroc, leur adresse e-mail est vérifiée par rapport à la base de données de l’attaquant, via les scripts de validation basés sur JavaScript sur la page, avant que le formulaire de loginage de vol d’identification frauduleux ne soit affiché. Si l’adresse e-mail saisie ne correspond à aucune de la liste prédéfinie, la page de phishing renvoie une erreur ou redirige vers une page légitime et bénigne. Si l’adresse est confirmée, cependant, la fausse page de connexion qui peut capturer les informations d’identification de la victime est affichée.

Problème pour les défenseurs

Le problème auquel sont confrontés les défenseurs est que la tactique empêche les équipes de sécurité de faire des analyses et des enquêtes plus approfondies, explique le rapport Cofense. Les robots automatisés de sécurité et les environnements de sable ont également du mal à analyser ces attaques car ils ne peuvent pas contourner le filtre de validation, ajoute le rapport.

En outre, le rapport indique que la nature sélective de ces attaques rend la détection par le partage de l’intelligence des menaces plus difficile. Étant donné que les pages de phishing ne servent pas de contenu malveillant à tout le monde, certains outils de balayage URL traditionnels peuvent ne pas les signaler comme des menaces. «Cela sape les efforts traditionnels de liste de blocage, obligeant les organisations à se déplacer vers l’analyse comportementale et la détection des anomalies pour identifier les campagnes de phishing avant d’atteindre les utilisateurs finaux», indique le rapport.

‘Un peu de battage médiatique’

David Shipley, chef de la société canadienne de formation de sensibilisation à la sécurité, Beauceron Security, a déclaré « il y a un peu de battage médiatique » pour donner à la tactique un nom sophistiqué pour ce qui est en fait un phishing de lance, bien qu’il ait admis, c’est « un phishing de lance à tir rapide ».

La raison, a-t-il dit, est que les campagnes de phishing de masse «en pulvérisation et en pulvérisation» aujourd’hui sont détectées par des passerelles par e-mail. C’est pourquoi les acteurs de la menace se sont de plus en plus tournés vers le phishing de lance et ce qu’il appelle des campagnes de «pêche à la traîne», où l’objectif est de mesurer qui rapportera une tentative de phishing, qui cliquera et où sur le message la cible cliquera. « Ils essaient de comprendre les choses avant de faire quelque chose de intelligent », a-t-il déclaré.

Le rapport est un rappel aux pros de l’INFOSEC que, malgré l’amélioration des défenses, le phishing est toujours une tactique principale des acteurs de la menace, a déclaré Shipley. «Vous pouvez avoir un faux sentiment de sécurité si vous exécutez une grande entreprise et dites:« Nous avons arrêté 950 000 e-mails de phishing ce mois-ci ». Mais le 500 qui a traversé pourrait vraiment couler le cuirassé. »

La leçon pour les CISO, a-t-il ajouté, est de souligner aux employés l’importance de signaler les e-mails de phishing présumés au lieu de simplement les supprimer.

«Difficile à défendre contre»

« Ceci est très difficile à défendre », a déclaré Johannes Ullrich, doyen de la recherche au Sans Institute. «La première étape consiste à restreindre l’accès JavaScript. Ensuite, les serveurs de courrier doivent évaluer les demandes de limite pour restreindre la fréquence à laquelle une source particulière peut utiliser son API. Mais il est très difficile de trouver la« bonne »limite de taux».

« La seule vraie solution », a-t-il dit, « consiste à s’éloigner des informations d’identification traditionnelles aux méthodes d’authentification sécurisées de phishing comme Passkeys. Le but devrait être de protéger des informations d’identification divulguées, et non de la vérification du compte utilisateur. »

Les attaquants vérifiant les adresses e-mail comme livrables ou associés à des individus spécifiques, n’ont rien fondamentalement nouveau, a-t-il ajouté. Initialement, les attaquants ont utilisé la commande «VRFY» du serveur de messagerie pour vérifier si une adresse était livrable. Cela fonctionne toujours dans quelques cas. Ensuite, les attaquants se sont appuyés sur des «reçus non livrables», les messages de rebond que vous pourriez recevoir si une adresse e-mail n’existe pas, pour déterminer si une adresse e-mail existait. Les deux techniques fonctionnent assez bien pour déterminer si une adresse e-mail est livrable, mais elles ne distinguent pas si l’adresse est connectée à un humain ou si ses messages sont lus.

La prochaine étape, a déclaré Ullrich, a été d’envoyer un spam évident, mais y compris un lien «désabonner». Si un utilisateur clique sur le lien «Désubpenser», il confirme que l’e-mail a été ouvert et lu. Le conseil actuel est donc de ne pas utiliser le lien de désabonnement à moins que vous ne connaissiez l’organisation qui envoie l’e-mail, a-t-il déclaré.

Avec les systèmes de messagerie Web, il est souvent possible pour un acteur de menace de déterminer si un compte particulier existe en tentant simplement de se connecter, a-t-il noté. L’attaquant peut obtenir une réponse différente si le compte n’existe pas, par rapport au «mot de passe incorrect» pour un compte existant. Pour les systèmes publics comme Gmail ou Hotmail, un attaquant peut également tenter de créer un nouveau compte, et le système les avertira si un nom d’utilisateur particulier est déjà pris.

« Il semble que cette campagne a ajouté la possibilité de vérifier si une adresse e-mail existe en temps réel », a-t-il déclaré. «La plupart des systèmes de la carte Web sont construits autour d’API accessibles à partir de JavaScript, et un attaquant peut utiliser ces API ou créer une base de données d’adresses e-mail valides ou du middleware pour proxy les demandes de l’API des services de messagerie en cas de courrier électronique au cas où ils restreignent l’accès JavaScript.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?