De nouvelles cyberattaques font la une des journaux chaque semaine, ce qui peut donner l’impression épuisante de nager à contre-courant dans un monde en ligne en constante évolution. L’une des formes d’attaque les plus récentes reprend le modèle du logiciel à la demande avec pour seule fin celle de dérober vos identifiants et de prendre le contrôle de vos comptes. Poursuivez votre lecture pour découvrir cette forme de tentative d’hameçonnage et les manières de vous protéger.

En quoi consiste l’hameçonnage à la demande?

Tout comme d’autres offres de services, l’hameçonnage à la demande est une trousse créée par des cybercriminels qui contient tout le nécessaire pour mener à bien une arnaque par hameçonnage. Il peut s’agir d’éléments indispensables comme du code, des graphiques, des modèles de courriels et des pages d’accueil.

Un cybercriminel qui veut organiser une arnaque par hameçonnage n’a donc plus qu’à acheter cette trousse et à l’utiliser : le développeur ou le groupe qui vend le service lui a déjà mâché le travail.

La montée en puissance du service EvilProxy

En 2022, Resecurity a découvert un nouveau service d’hameçonnage à la demande du nom d’EvilProxy. Les trousses créées par EvilProxy permettent aux cybercriminels de cibler les personnes qui utilisent l’authentification multifactorielle (AMF) pour sécuriser leurs comptes. Comme dans le cas des attaques de type « Adversary-in-the-Middle » ou « Man-in-the-Middle », vous suivez un lien vers ce que vous supposez être un vrai site, mais le cybercriminel intercepte le lien. Le pirate utilise des témoins de session pour se connecter au compte auquel vous essayez d’accéder et récolte secrètement les renseignements que vous saisissez dans sa fausse page d’accueil.

EvilProxy tente également d’escroquer les gens en ciblant les développeurs de logiciels des grandes marques. Lorsqu’il s’attaque aux développeurs, il envoie des courriels d’hameçonnage astucieux pour tenter d’accéder au logiciel lui-même et d’y insérer un code malveillant. Il peut ainsi envoyer le logiciel malveillant à des personnes peu méfiantes qui font intrinsèquement confiance à la grande marque et à ses logiciels.

Le groupe EvilProxy a commencé à gagner en notoriété quand il a été associé à des attaques contre des utilisateurs de Google et de Microsoft qui utilisaient l’AMF pour protéger leurs comptes. Ces attaques visaient les personnes qui utilisaient des SMS ou des jetons d’application pour sécuriser leurs comptes. Bien qu’EvilProxy soit relativement nouveau sur la scène de la cybercriminalité, il est clair que le groupe voulait faire parler de lui en s’attaquant à de grandes organisations réputées. Cette tendance s’est poursuivie avec l’élargissement des activités du groupe, qui propose désormais des trousses conçues pour cibler les utilisateurs de grandes marques telles qu’Apple, Facebook et Dropbox.

EvilProxy n’hésite pas à crier haut et fort son succès ou à expliquer comment utiliser ses trousses d’hameçonnage. Les cybercriminels qui souhaitent les acheter et les utiliser peuvent tout simplement souscrire un abonnement.

La montée en puissance d’EvilProxy marque un changement notable dans le monde de la cybercriminalité et, malheureusement, l’augmentation du nombre de cybercriminels qui exploitent les mécanismes de l’authentification multifactorielle (AMF).

EvilProxy et Indeed

Des cybercriminels ont récemment utilisé EvilProxy pour mener une attaque visant les comptes Microsoft 365 en exploitant les failles de la redirection ouverte à partir du site d’emploi Indeed.

Les redirections ouvertes ne sont pas mauvaises en soi, et de nombreux sites web les utilisent pour les pages de connexion ou pour l’AMF.

Les attaquants ont ciblé des employés de haut rang des secteurs de l’électronique, de la fabrication, de la banque, de la finance et d’autres industries grâce à une faille liée à des redirections ouvertes dans le code du site web. Cela leur a permis de créer une redirection vers une page d’accueil d’hameçonnage sans soulever de soupçons.

Les cibles de l’attaque ont reçu un lien qui avait l’air vrai vers une page Indeed. Comme les personnes menant l’attaque se sont appuyées sur une entreprise bien connue, les personnes qui suivaient le lien étaient convaincues de se rendre sur une page de connexion officielle.

Au lieu de ça, les cibles de l’attaque ont atterri sur une fausse page de connexion à Microsoft 365, où elles ont saisi leurs identifiants et procédé aux étapes de l’AMF. Les cybercriminels ont pu s’emparer des identifiants et de vrais témoins leur permettant de pirater le compte de leurs cibles.

Un porte-parole d’Indeed a indiqué qu’aucune donnée d’utilisateur n’avait été consultée à mauvais escient.

Comment se protéger des attaques de type hameçonnage à la demande

1. Allez directement sur le site. Si vous recevez un courriel vous invitant à suivre un lien vers un site connu, au lieu de suivre le lien, connectez-vous directement au site web.

2. Utilisez un gestionnaire de mot de passe. Le gestionnaire de mots de passe peut enregistrer l’URL du site web auquel vous essayez de vous connecter. Ainsi, si le gestionnaire de mots de passe ne vous invite pas à saisir votre mot de passe, vous savez que vous n’êtes pas sur le bon site.

3. Méfiez-vous des attaques qui exploitent l’AMF. L’AFM est une couche de sécurité supplémentaire utile et sûre qui protège vos comptes et que nous vous recommandons d’utiliser au travail et chez vous. Voici quelques mesures que vous pouvez prendre pour renforcer la sécurité de l’AMF :

a. Réduisez le délai entre les différentes méthodes d’authentification (par exemple, si un compte est protégé par un mot de passe et qu’il faut un code d’AMF pour y accéder).

b. Ajoutez des facteurs d’authentification supplémentaires tels que la géolocalisation ou des facteurs biométriques qui sont plus difficiles à pirater pour les cybercriminels.

Les attaques de type hameçonnage à la demande peuvent avoir un impact considérable sur vos comptes personnels et des répercussions tout aussi considérables sur vos comptes professionnels. Savoir ce qu’il faut faire en cas de tentative d’hameçonnage vous permettra de rester en sécurité en ligne. En cas de doute, adressez-vous à l’équipe de sensibilisation à la sécurité de votre organisation.