Le service peut contourner les fournisseurs de signes mono-signants cloud, prévient Okta.
Le fournisseur de gestion de l’identité et de l’accès, Okta, a découvert ce qu’il dit être une nouvelle opération de phishing en tant que service (PHAAS) qui, si les victimes tombent dans un e-mail infecté, peuvent contourner les protections de compte d’utilisateur des fournisseurs de connexion unique tiers pour voler Microsoft et Google Cédépendance des informations de connexion.
Cependant, c’est un grand «si».
Une formation efficace de sensibilisation à la sécurité qui alerte les utilisateurs pour se méfier des e-mails suspects aidera à émousser les efforts des acteurs de la menace qui souscrivent au service. Les experts nous ont également dit que l’authentification résistante au phishing était essentielle à éloigner les attaques de phishing visant à voler des informations d’identification.
Le service de phishing criminel, appelé voidProxy, « représente une menace mature, évolutive et évasive pour les contrôles traditionnels de sécurité des e-mails et d’authentification », a déclaré Okta dans un rapport jeudi.
«Le service utilise des techniques d’adversaire dans le milieu (AITM) pour intercepter les flux d’authentification en temps réel, capturant les informations d’identification, les codes MFA et tous les jetons de session établis lors de l’événement de connexion. Cette capacité peut contourner la protection des méthodes d’authentification multi-facteurs courantes (MFA), tels que les chercheurs SMS et les mots de passe en même temps (OTP) des applications authentiques.
«En offrant ce PHAAS sophistiqué, Voidproxy abaisse la barrière technique d’un large éventail d’acteurs de menace pour exécuter les attaques de phishing AITM. Les comptes compromis à l’aide de plateformes PHAAS facilitent de nombreuses activités malveillantes telles que les compromis par e-mail (BEC), la fraude financière, l’exfiltration de données et les mouvements latéraux dans les réseaux de victimes.»
Le service a des caractéristiques anti-analyse
La plate-forme VoidProxy a pu échapper à l’analyse jusqu’à ce point en utilisant plusieurs couches de fonctionnalités anti-analyse, y compris des comptes de messagerie compromis, des redirections multiples, des défis CloudFlare Captcha, des travailleurs de CloudFlare et des services DNS dynamiques, a déclaré Okta.
Une attaque fonctionne comme celle-ci: les leurres de phishing sont envoyés à partir de comptes compromis de fournisseurs de services de messagerie légitime (ESP) tels que le contact constant, la campagne active (PostMarkApp), les avis de vision et autres. L’espoir est que ces sources de messages tromperont les filtres de spam.
Si une victime tombe dans le message, elle clique sur un lien qui utilise des services de raccourcissement d’URL (tels que Tinyurl), qui seraient chacun redirigées plusieurs fois avant que l’utilisateur ne se retrouve sur un site d’atterrissage en première étape. L’objectif dans les redirections est d’échapper à l’analyse automatisée.
Avant tout chargement de sites d’atterrissage en première étape, l’utilisateur est présenté avec un défi CloudFlare CAPTCHA pour déterminer si la demande provient d’un utilisateur interactif ou d’un bot.
Les pages de phishing en première étape sont hébergées sur des domaines enregistrés avec une variété de TLD à faible coût et à faible réputation, tels que .icu, .sbs, .cfd, .xyz, .top et .home. Le rapport indique que cela minimise les coûts opérationnels à Voidproxy et permet aux attaquants de traiter les domaines comme des actifs jetables, les abandonnant rapidement une fois qu’ils sont identifiés et listés en blocage. Les sites de phishing sont placés derrière Cloudflare, cachant efficacement l’adresse IP réelle du serveur du site de phishing et rendant beaucoup plus difficile pour les équipes de sécurité de retracer et de supprimer l’hôte malveillant.
Le navigateur de l’utilisateur de la victime communique ensuite avec un travailleur CloudFlare (* .workers.dev). Okta estime que ce travailleur agit probablement comme un gardien et le chargeur de leurre pour filtrer le trafic entrant et charger la page de phishing appropriée pour une cible donnée.
Une fois le défi CAPTCHA passé, l’utilisateur voit une réplique parfaite d’un portail de connexion Microsoft ou Google légitime.
Toute tentative d’accéder au site à l’aide de scanners automatisés ou d’autres outils de sécurité redirige l’utilisateur vers une page générique «bienvenue» sans autre fonctionnalité.
Les informations d’identification vont au serveur adversaire dans le milieu
Si une victime est suffisamment imprudente pour saisir ses informations d’identification Microsoft ou Google primaires sur la page de phishing, les données sont envoyées sur le principal serveur proxy AITM de VoidProxy. C’est ici que la nature sophistiquée et multicouche de Voidproxy entre en jeu, dit Okta.
Les utilisateurs fédérés sont redirigés vers des pages de destination supplémentaires de deuxième étape après avoir fourni des informations d’identification principales pour leur compte Microsoft ou Google. Les utilisateurs non fedérés sont redirigés vers les serveurs Microsoft et Google directement via l’infrastructure proxy.
Un serveur proxy de base hébergé sur une infrastructure éphémère exécute une attaque AITM. Ce serveur agit comme un proxy inversé pour capturer et relâcher des informations, y compris les noms d’utilisateur, les mots de passe et les réponses MFA, à des services légitimes comme Microsoft, Google et Okta. Lorsque le service légitime valide l’authentification et publie un cookie de session, le serveur proxy Voidproxy l’intercepte. Une copie du cookie est exfiltrée et mise à la disposition de l’attaquant via leur panneau d’administration. L’attaquant est maintenant en possession d’un cookie de session valide et peut accéder au compte de la victime.
Montre les risques de SMS et OTP
« Le rapport met en évidence les risques des anciens types d’authentification multi-facteurs comme les SMS et les codes de mot de passe ponctuel (OTP) combinés avec le vol de jetons de session », a commenté David Shipley du fournisseur canadien de formation de sensibilisation à la sécurité Beauceron Security. « L’astuce ici est de garantir que les utilisateurs organisationnels ont des secours lorsque des approches plus sophistiquées comme les applications 2FA ne sont pas disponibles. »
L’autre astuce, a-t-il ajouté, est de rendre la transition vers le MFA plus facile et plus pratique. « Tout le monde doit examiner attentivement la durée de vie des jetons de session / ré-authentification et revisiter les notions que ce n’était pas nécessaire si les gens étaient dans des locaux », a-t-il déclaré.
« Le rapport met en évidence un rôle intéressant dans lequel CloudFlare a été pris, avec des criminels l’utilisant pour se cacher des outils de sécurité », a-t-il noté. «Si cette tendance se poursuit, nous pouvons voir plus de pression sur ce type de prestataires pour les types de règles de connaissance de votre client (KYC) que nous voyons dans l’industrie des services financiers.»
La formation à la sensibilisation à la sécurité émousserait-elle cette attaque depuis le début? Johannes Ullrich, des recherches de recherche au Sans Institute était douteuse. « La formation à la sensibilisation à la sécurité s’est avérée à plusieurs reprises inefficace », a-t-il déclaré.
Shipley était plus optimiste. «Un programme efficace de sensibilisation à la sécurité peut réduire le haut de l’entonnoir à risque, mais ne peut pas l’éliminer. Nos recherches montrent qu’immédiatement après la formation, la chance que quelqu’un clique sur un phish soit toujours de 3,5%. Après 90 jours, la probabilité est de 15%, après 360, c’est un énorme 95%. Donc (seulement) la formation annuelle ne va pas.»
Les deux étaient d’accord sur l’importance d’avoir également des défenses résistantes au phishing.
« La résistance au phishing devrait être une exigence de référence pour l’authentification », a déclaré Ullrich.
« Deuxièmement, il n’y a pas d’authentification sûre pour une véritable » machine dans l’attaque du milieu « ou une » machine dans le navigateur « comme les plugins du navigateur. Dans ce cas, les attaquants sont en mesure d’obtenir des informations d’identification de session post-authentification, et la méthode d’authentification réelle n’est pas pertinente. »
Google a proposé des informations d’identification de session liées à l’appareil, a noté Ullrich, mais ils n’ont pas encore été largement adoptés. DBSC ajoute une couche de sécurité soutenue par le matériel (comme le module de plate-forme de confiance d’une carte mère) pour s’assurer que les sessions sont liées à des appareils spécifiques. Les séances utilisent des cookies de courte durée. Lorsque l’un de ces cookies expire, le navigateur prouve la possession d’une clé privée avant de les rafraîchir. Ce processus relie la continuité de la session à l’appareil d’origine.
Shipley a également déclaré qu’il était temps de prendre sa retraite ce qu’il a appelé «le terme trompeur« résistant au phishing ». Ce n’est pas le cas.
« Les vendeurs ont trop promis sur l’authentification résistante au phishing et doivent les gens à des excuses », a-t-il ajouté. « L’image de marque plus précise serait » résistante au phishing paresseuse « , mais cela ne semble pas aussi bon pour le marketing. »
Recommandations
- inscrire les utilisateurs à de forts authentificateurs tels que PassKeys, les clés de sécurité ou et les cartes à puce et appliquer la résistance au phishing en politique;
- restreindre l’accès aux applications sensibles aux appareils gérés par les outils de gestion des points de terminaison et protégés par des outils de sécurité des terminaux. Pour l’accès à des applications moins sensibles, nécessitent des dispositifs enregistrés qui présentent des indicateurs de l’hygiène de base de la cybersécurité;
- nier ou exiger une assurance plus élevée, pour les demandes de réseaux rarement utilisés;
- Identifiez les demandes d’accès aux applications qui s’écartent des modèles d’activité des utilisateurs précédemment établis, en utilisant des solutions de surveillance du comportement ou des risques. Les stratégies peuvent être configurées pour remonter ou refuser les demandes;
- former les utilisateurs à identifier les indicateurs des e-mails suspects, des sites de phishing et des techniques d’ingénierie sociale courantes utilisées par les attaquants;
- Répondez en temps réel aux interactions des utilisateurs avec les infrastructures suspectes en automatisant les flux de correction;
- Appliquer la liaison de session IP à toutes les applications administratives pour empêcher la rediffusion des sessions administratives volées;
- Force la réauthentification chaque fois qu’un utilisateur administratif tente d’effectuer des actions sensibles.
