phishing concept

Même les anti-scracteurs sont arnaqués: l’expert en sécurité Troy Hunt Pwned par e-mail de phishing

Lucas Morel

Illustrant qu’il n’y a pas d’immunité de phishing, le fondateur de l’as-je été pwned? Le site Web admet avoir été recouvert par un e-mail qui a exposé son accès à MailChimp.

Troy Hunt, le chercheur en sécurité derrière le populaire «ai-je été pwned?» Le site de notification de violation de données a été victime d’une attaque de phishing qui a exposé les adresses e-mail des abonnés aux mises à jour de son blog personnel.

Hunt a reçu un e-mail prétendument de la plate-forme de marketing par courrier électronique Mailchimp affirmant à tort que son compte avait été limité en raison d’une plainte de spam. En réponse, Hunt est entré dans ses détails de connexion et a soumis un mot de passe unique à un faux site se faisant passer pour MailChimp.

Le chercheur en sécurité a rapidement réalisé son erreur et a changé ses détails de connexion, mais pas avant que les attaquants n’aient exporté une liste de diffusion avec plus de 16 000 adresses e-mail, y compris les abonnés de blog actuels et non publiés.

Hunt est rapidement devenu public sur l’attaque, ce qui n’a pas eu un impact sur le fait d’avoir été pwned? Service, qui reste sécurisé.

Le Phish a permis une attaque «hautement automatisée»

Dans un article de blog, Hunt a expliqué comment l’e-mail bien conçu l’avait incité à agir sur son contenu. Hunt était, par son propre compte, des facteurs de voyage et quelque peu décalés de jet qui signifiait qu’il manquait des panneaux d’avertissement tels que son gestionnaire de mots de passe ne remplissant pas les détails de connexion, le domaine ou l’e-mail source non lié qui se faisait passer pour des «services de compte MailChimp».

Troy Hunt petit

L’attaque de phishing a été «hautement automatisée et conçue pour exporter immédiatement la liste avant que la victime ne puisse prendre des mesures préventives», a écrit Hunt.

L’attaque met en évidence les limites des mots de passe et l’authentification à deux facteurs (2FA) pour prévenir les attaques de phishing. Hunt a déclaré que l’incident met en évidence la nécessité pour plus de sites d’adopter Passkeys, une alternative moderne aux mots de passe qui repose sur des secrets cryptographiques stockés sur des appareils enregistrés.

« En aucun cas, j’encourage les gens à ne pas activer 2FA via OTP, mais que ce soit une leçon quant à la façon dont il est complètement inutile contre une attaque de phishing automatisée qui peut simplement relayer l’OTP dès son entrée », a conclu Hunt.

« La faillibilité est quelque chose que nous avons tous – je n’ai jamais pensé que j’étais à l’immunité », a déclaré Hunt. Le chercheur en sécurité a ajouté que l’incident a montré que «la sécurité est une responsabilité partagée», il est donc simplement blâmé la sécurité des utilisateurs désavisants pour avoir été victime d’attaques de phishing ne parvient pas à se mettre au cœur du problème.

Plus de sites et de services devraient introduire des clés Passkeys ou des alternatives 2FA non phisables qui ne devraient pas impliquer de dépenses ou de difficultés importantes à postuler, a conclu Hunt.

Même les pros chevronnés sont susceptibles de phishing

Aditi Gupta, principale consultante en sécurité chez Black Duck, a déclaré que l’attaque a illustré comment les mauvais acteurs se nourrissent de la peur et des faiblesses telles que la fatigue et un sentiment d’urgence afin d’appâter les utilisateurs sans méfiance.

« L’utilisation de Passkeys est une mesure préventive immédiate, mais l’hygiène de base comme l’évaluation des domaines de l’identité de l’expéditeur et de la double vérification sur un navigateur différent avant de cliquer et de saisir des informations d’identification est une chose intelligente à faire », selon Gupta.

Erich Kron, défenseur de la sécurité chez le fournisseur de sensibilisation à la sécurité KnowBe4, a ajouté que l’incident illustre comment même un «professionnel chevronné peut être victime d’une attaque de phishing bien faite».

« C’est une des raisons pour lesquelles nous devons éviter de honte aux utilisateurs qui ont fait une erreur et ont potentiellement cliqué sur un lien ou effectué une autre action », a déclaré Kron. «Les organisations devraient travailler vers une culture de la sécurité qui célèbre les rapports.»

Kron a ajouté: « Hunt mérite des félicitations pour en parler publiquement, admettant son erreur et l’utilisant pour aider à éduquer les autres. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?