Pour gérer vos consentements :
Categories: Sécurité

Phishing : des attaques sous couvert de captchas

Les outils de détection d’URL malveillantes sont efficaces… à condition de trouver les URL à analyser.

Cofense dressait récemment ce constat dans le cadre d’un focus sur une campagne de phishing.

Pour passer sous les radars, cette campagne exploitait un QR code intégré dans des e-mails. Les utilisateurs étaient dirigés vers une fausse page de connexion SharePoint, prétendument pour consulter un « document important ».

Le point terminal de l’attaque se situait sur les terminaux mobiles, souvent moins bien protégés, comme l’ont notamment relevé des chercheurs de Carnegie Mellon dans une étude sur le phénomène dit du « QRishing ».

Vous avez un message

Autre moyen de contourner l’analyse des URL : les captchas, du nom de ces systèmes de filtrage des robots qui consiste, pour l’utilisateur d’un service en ligne, à prouver qu’il est bien un humain.

Cofense vient d’y consacrer une publication.

Tout part d’un e-mail contenant un lien censé permettre d’écouter un message vocal.

L’utilisateur est en fait dirigé vers une page « intermédiaire » contenant un captcha. L’analyse automatique des URL s’en tient à cette page, qui paraît d’autant moins suspecte qu’elle est hébergée sur le cloud de Microsoft (service Stockage Blob).

Une fois le captcha validé, s’ouvre la page de phishing. Elle imite un formulaire de connexion aux services Microsoft.

Une campagne repérée voilà environ un an exploitait les mêmes ressorts. Plus précisément, une fausse page de connexion à Office 365 hébergée sur Azure. Le certificat SSL était par là même signalé comme fourni par Microsoft, donc de confiance.

Banco pour les captchas ?

En début d’année, lumière avait été faite sur une autre campagne de phishing impliquant des captchas.

Elle ciblait les clients d’une banque polonaise à travers des fausses alertes de transactions.
Les victimes étaient invitées à cliquer sur un lien pour confirmer ces opérations.

En fonction de la configuration du navigateur pouvait s’afficher une erreur 404 ou un reCAPTCHA (nom que Google donne à son implémentation du dispositif).
Dans le deuxième cas se lançait le téléchargement du cheval de Troie BankBot, en archive .zip ou en .apk sur les terminaux Android.

Photo d’illustration © ra2studio – Shutterstock.com

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

12 minutes ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

2 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

19 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

21 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

23 heures ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago