Les outils de détection d’URL malveillantes sont efficaces… à condition de trouver les URL à analyser.
Cofense dressait récemment ce constat dans le cadre d’un focus sur une campagne de phishing.
Pour passer sous les radars, cette campagne exploitait un QR code intégré dans des e-mails. Les utilisateurs étaient dirigés vers une fausse page de connexion SharePoint, prétendument pour consulter un « document important ».
Le point terminal de l’attaque se situait sur les terminaux mobiles, souvent moins bien protégés, comme l’ont notamment relevé des chercheurs de Carnegie Mellon dans une étude sur le phénomène dit du « QRishing ».
Autre moyen de contourner l’analyse des URL : les captchas, du nom de ces systèmes de filtrage des robots qui consiste, pour l’utilisateur d’un service en ligne, à prouver qu’il est bien un humain.
Cofense vient d’y consacrer une publication.
Tout part d’un e-mail contenant un lien censé permettre d’écouter un message vocal.
L’utilisateur est en fait dirigé vers une page « intermédiaire » contenant un captcha. L’analyse automatique des URL s’en tient à cette page, qui paraît d’autant moins suspecte qu’elle est hébergée sur le cloud de Microsoft (service Stockage Blob).
Une fois le captcha validé, s’ouvre la page de phishing. Elle imite un formulaire de connexion aux services Microsoft.
Une campagne repérée voilà environ un an exploitait les mêmes ressorts. Plus précisément, une fausse page de connexion à Office 365 hébergée sur Azure. Le certificat SSL était par là même signalé comme fourni par Microsoft, donc de confiance.
En début d’année, lumière avait été faite sur une autre campagne de phishing impliquant des captchas.
Elle ciblait les clients d’une banque polonaise à travers des fausses alertes de transactions.
Les victimes étaient invitées à cliquer sur un lien pour confirmer ces opérations.
En fonction de la configuration du navigateur pouvait s’afficher une erreur 404 ou un reCAPTCHA (nom que Google donne à son implémentation du dispositif).
Dans le deuxième cas se lançait le téléchargement du cheval de Troie BankBot, en archive .zip ou en .apk sur les terminaux Android.
Photo d’illustration © ra2studio – Shutterstock.com
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
