Phishing

Les attaquants enveloppent les liens de phishing via des services de numérisation d’URL à la détection de contournement

Lucas Morel

Les destinataires des e-mails voyous peuvent être plus susceptibles de cliquer sur des liens enveloppés, en supposant qu’ils ont été vérifiés par les services de sécurité.

Les attaquants exploitent les pratiques d’emballage d’URL des services de sécurité des e-mails pour cacher les liens de phishing et donner de la crédibilité à leurs campagnes malveillantes.

Les services de sécurité par e-mail réécrivent souvent les URL des e-mails pour les acheminer via un domaine intermédiaire pour la numérisation. Bien que la redirection des liens via des services de balayage URL puisse sembler contre-intuitive, les attaquants profitent du retard avant que ces services ne commencent à détecter et à bloquer les pages de phishing.

Des chercheurs de l’équipe de sécurité des e-mails de Cloudflare ont identifié plusieurs campagnes de phishing au cours des deux derniers mois qui ont abusé des comptes de messagerie compromis protégés par les services de Proofpoint et Intermedia.net. Les URL dans les e-mails envoyés à partir de ces comptes ont été automatiquement réécrits par les services de sécurité pour pointer des domaines tels que http://urldefense.proofpoint.com et http://url.emailprotection.link (Intermedia).

«L’emballage des liens est conçu par des fournisseurs comme Proofpoint pour protéger les utilisateurs en achetant toutes les URL cliquées via un service de numérisation, ce qui leur permet de bloquer les destinations malveillantes connues au moment du clic», a écrit CloudFlare Researchers dans leur rapport sur les attaques. « Bien que cela soit efficace contre les menaces connues, les attaques peuvent toujours réussir si le lien enveloppé n’a pas été signalé par le scanner au moment du clic. »

Les destinataires de ces e-mails voyous sont plus susceptibles de cliquer sur des liens enveloppés, en supposant qu’ils ont déjà été vérifiés par les services de sécurité. Dans le même temps, les filtres à spam basés sur la réputation peuvent ne pas bloquer ces liens, car ils semblent indiquer des domaines de confiance.

Plusieurs couches d’obscurcissement

Pour maximiser leur fenêtre d’opportunité, les attaquants derrière ces campagnes utilisent des techniques supplémentaires pour masquer leurs charges utiles finales. Dans une campagne, l’URL de phishing a été acheminée via plusieurs domaines de redirection, puis enveloppés par le service de réécriture de lien de Proofpoint, et a finalement passé un raccourcissement URL, ajoutant plusieurs couches d’obfuscation.

Les leurres des e-mails de phishing varient: de fausses notifications de messagerie vocale avec un bouton pour accéder au message, alertes sur les messages qui prétendument reçus via des équipes Microsoft, des notifications sur les documents sécurisés envoyés via le message sécurisé Zix. Mais dans tous les cas, la page de destination finale, atteinte après une série de redirectes, était une page de connexion Microsoft Office 365 usurpée conçue pour récolter les informations d’identification des utilisateurs.

« L’abus de cette campagne pour les services d’emballage de liens de confiance augmente considérablement la probabilité d’une attaque réussie », ont déclaré les chercheurs de Cloudflare. «Les attaquants exploitent les utilisateurs de confiance inhérents dans ces outils de sécurité, ce qui peut conduire à des taux de clics plus élevés.»

Bien que l’exploitation des fonctionnalités de l’emballage des liens des scanners de sécurité URL soit un développement intéressant, l’abus de services légitimes pour cacher des charges utiles malveillantes n’est ni nouvelle ni susceptible de disparaître. Que nous parlions des humains ou des liens d’inspection de logiciels, la détection ne devrait jamais s’appuyer uniquement sur la réputation du domaine. Les organisations devraient former leurs employés sur la façon de repérer les pages de phishing s’ils atterrissent sur eux, et les outils automatisés devraient utiliser des algorithmes de détection de contenu plus sophistiqués pour identifier ces pages.

Le rapport CloudFlare contient des indicateurs de compromis et d’empreintes digitales de détection par e-mail qui peuvent être utilisées pour créer des signatures de détection pour ces campagnes.

Voir aussi:

  • 11 façons dont les cybercriminels rendent le phishing plus puissant que jamais
  • 9 conseils pour empêcher le phishing
  • 10 meilleurs outils et services anti-phishing

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Des exploits Zero Day ont frappé les systèmes Cisco ISE et Citrix dans le cadre d’une campagne avancée
Digital twins combine with AI
Combattre l’IA avec l’IA : robots antagonistes contre chasseurs de menaces autonomes
Back behind view photo of dark skin programmer lady look big monitor check id-address work overtime check debugging system wear specs casual shirt sit table late night office indoors
Une vulnérabilité copier-coller frappe les cadres d’inférence d’IA de Meta, Nvidia et Microsoft