Détecter les tentatives de phishing aux multiples facettes

Benoit Grunemwald

L'hameçonnage demeure l'une des cybermenaces les plus persistantes. Comment au fil des années, les attaquants ont-ils fait évoluer leurs méthodes et outils pour continuer de leurrer leurs victimes ?

L'hameçonnage demeure l'une des cybermenaces les plus persistantes aujourd'hui. Cette durabilité s'explique par le fait que, bien que les cybercriminels visent constamment le même objectif, dérober les données de connexion et autres informations confidentielles des utilisateurs, ils adaptent continuellement leurs méthodes d'attaque et font preuve d'une évolution et ingéniosité constantes dans leurs stratégies.

Présentation concise des méthodes d'attaque sophistiquées utilisant des kits de phishing automatisés pour créer des pages de connexion contrefaites et personnalisées en temps réel. 

Ces dernières années, l'emploi de pages d'hameçonnage créées de manière dynamique a connu une popularité croissante. Grâce à des plateformes spécialisées de phishing-as-a-Service (PhaaS), les cybercriminels peuvent concevoir instantanément des pages frauduleuses d'apparence crédible, tout en les adaptant spécifiquement à chaque victime ciblée.

Plutôt que de reproduire manuellement et laborieusement un site web légitime, même les pirates informatiques aux compétences techniques limitées peuvent désormais s'appuyer sur ces outils automatisés pour effectuer le travail complexe à leur place, et ce de façon instantanée et massive. LogoKit, un exemple notoire de ces kits d'outils a attiré l'attention médiatique dès 2021 et continue apparemment d'être utilisé activement.

Anatomie d’une attaque par hameçonnage

Sans surprise, l'hameçon est généralement amorcé par un courriel conçu pour susciter un sentiment d'urgence ou éveiller la curiosité, un message stratégiquement élaboré pour provoquer un clic impulsif sans réflexion préalable.

Figure 1. Exemple d'un courriel malveillant contenant un lien menant à une fausse page de connexion

Une fois le lien activé, vous êtes dirigé vers un site web capable de récupérer automatiquement le logo de l'organisation dont l'identité est usurpée, en exploitant de manière malveillante l'interface de programmation (API) d'un service de marketing légitime comme Clearbit.

Autrement dit, la page conçue pour collecter les identifiants interroge des sources telles que des bases de données d'entreprises et des services de recherche d'icônes pour récupérer le logo et autres éléments visuels de l'entreprise imitée, intégrant parfois même des détails contextuels subtils ou des indices visuels qui renforcent davantage la crédibilité apparente de l'arnaque.

Pour renforcer la tromperie, les pirates peuvent également pré-compléter votre nom ou votre adresse électronique, créant l'illusion que vous avez déjà fréquenté ce site auparavant.

Graphique 2. Fausse page de connexion pour l'Administration fédérale des revenus publics (AFIP) de l'Argentine

Graphique 3. Fausse page de connexion Amazon

Les données de connexion sont transmises instantanément aux cybercriminels via une requête AJAX POST. La page vous redirige finalement vers le site web authentique que vous souhaitiez consulter initialement, vous laissant dans l'ignorance jusqu'à ce qu'il soit trop tard pour réagir.

Augmentation de l’hameçonnage dans le monde numérique 

Il est probablement évident maintenant que cette technique représente un avantage considérable pour les attaquants pour plusieurs raisons :

  • Adaptation instantanée : les cybercriminels peuvent immédiatement personnaliser l'aspect visuel de la page pour n'importe quelle victime, en récupérant logos et autres éléments de marque via des services publics en temps réel.
  • Capacité d'évasion renforcée : le camouflage des attaques avec des éléments visuels authentiques permet d'échapper à la détection par de nombreuses personnes et certains systèmes de filtrage anti-spam.
  • Déploiement flexible et extensible : l'infrastructure d'attaque est souvent légère et simple à déployer sur des services cloud comme Firebase, Oracle Cloud, GitHub, etc. Cela facilite la mise à l'échelle de ces campagnes et complique leur identification et démantèlement rapides par les défenseurs.
  • Abaissement des obstacles techniques : Des outils comme LogoKit sont aisément accessibles sur des forums underground, fournissant même aux individus moins compétents techniquement les ressources nécessaires pour orchestrer des attaques.

Maintenir sa protection face aux menaces

Se protéger contre l'évolution des techniques d'hameçonnage nécessite d'allier une vigilance personnelle constante à des mesures de sécurité techniques solides. Néanmoins, quelques principes éprouvés contribueront significativement à votre protection.

Si un courriel, un message texte ou un appel vous invite à cliquer sur un lien, télécharger un fichier ou communiquer des informations, prenez le temps de vous arrêter et de vérifier indépendamment. Évitez de cliquer directement sur les liens dans les messages douteux. Privilégiez plutôt la navigation directe vers le site web légitime ou contactez l'organisation en utilisant un numéro de téléphone ou une adresse électronique fiable et vérifiée.

Par-dessus tout, utilisez un mot de passe ou une phrase de passe robuste et unique pour chacun de vos comptes en ligne, particulièrement les plus sensibles. Compléter cette mesure par l'authentification à deux facteurs (2FA), lorsqu'elle est proposée, constitue également une ligne de défense indispensable. La 2FA ajoute une couche de sécurité supplémentaire cruciale qui peut empêcher les attaquants d'accéder à vos comptes, même s'ils parviennent à dérober votre mot de passe ou à l'obtenir via des fuites de données. Idéalement, privilégiez les options 2FA basées sur des applications ou des jetons physiques, généralement plus sécurisées que les codes SMS.

Utilisez également des solutions de sécurité complètes et multicouches intégrant des protections anti-phishing avancées sur l'ensemble de vos appareils.

Bien que l'objectif, dérober les informations sensibles des individus, reste généralement identique, les méthodes employées par les cybercriminels sont loin d'être figées. L'approche évolutive présentée ci-dessus démontre la capacité des cybercriminels à détourner même des technologies légitimes à des fins malveillantes.

L'émergence des arnaques assistées par intelligence artificielle et d'autres menaces complique encore davantage la situation. Avec des outils d'IA entre les mains de criminels, les courriels d'hameçonnage peuvent devenir ultra personnalisés. L'association d'une vigilance soutenue et de défenses techniques robustes contribuera grandement à maintenir à distance le phishing en perpétuelle évolution.