Quelle évolution des campagnes d'hameçonnage ?
Bien que les victimes se montrent plus sceptiques face à ce qu'elles voient en ligne, les acteurs malveillants sont devenus experts dans la mise à jour de leurs escroqueries ...
L'une des évolutions les plus inquiétantes de la cybercriminalité est l'émergence d’offres de services sur des sites et des marchés clandestins. L'idée est simple : suivre l'exemple du software as a service (SaaS), qui a révolutionné la création et l'utilisation d'applications officielles en les étendant aux utilisateurs non techniques. De la même manière, les apprentis cybercriminels qui ont l'intention, mais pas les compétences, de frauder ou d'extorquer des victimes peuvent désormais acheter des packs préétablis hébergés dans le cloud pour les aider à atteindre leurs objectifs malintentionnés.
Des outils d'hameçonnage sophistiqués pour les apprentis fraudeurs
Des offres PhaaS C'est exactement ce que fait le Phishing as a service (PhaaS). Il met la cybercriminalité à la portée du plus grand nombre en fournissant des boîtes à outils contenant tout le nécessaire pour lancer une campagne malveillante en ligne. Il permet à la fois aux experts en hameçonnage de gagner plus d'argent dans une économie de la cybercriminalité en pleine croissance, et aux criminels non-initiés de prendre une part du butin. Et si le PhaaS existe depuis plusieurs années, les offres deviennent de plus en plus sophistiquées et professionnalisées au fil des années. Ils font également l'objet d'une publicité sur le web de surface, ce qui peut attirer un public encore plus large qu'auparavant.
Des interfaces plus intuitives, des expériences plus fluides pour l'utilisateur final et des éléments plus personnalisables ne sont que quelques-unes des innovations que nous observons. De nombreuses offres de ce type sont de plus en plus conçues pour améliorer la probabilité qu'une victime tombe dans le piège, tout en renforçant la capacité de l'acteur de la menace à passer à une deuxième phase de fraude.
La redoutable panoplie du PhasS « Knyght »
L’attaquant « Knyght » propose toute une gamme de pages d’hameçonnage personnalisées et préconstruites pour diverses cibles bancaires. L'éventail des données qu'un phisher peut demander via ces outils est étonnant. Il comprend non seulement les éléments habituels tels que les identifiants de compte, les données de carte de paiement, l'empreinte digitale du navigateur et les informations personnelles comme l'adresse électronique, le numéro de téléphone, la date de naissance et le numéro de sécurité sociale, mais aussi des options plus avancées. Il s'agit notamment d'un « téléchargement de documents d'identité », qui récolte les images du permis de conduire et/ou du passeport de victimes, ce qui permet aux escrocs de contourner les contrôles d'identité couramment utilisés par les banques pour les demandes de prêt. Knyght propose également une « caméra selfie » conçue pour capturer la photo selfie d'une victime prise en tenant un document d'identité. Cela ouvre la porte à un éventail potentiellement encore plus large d'activités frauduleuses, étant donné le nombre de sites web et d'applications qui utilisent désormais les selfies comme moyen d'enregistrement et d'authentification des utilisateurs.
Et ce n'est pas tout. Les types d’hameçonnage proposés par Knyght comportent également un test CAPTCHA. Il fonctionne à deux niveaux. D’une part, il assure à la victime qu'elle a été dirigée vers une page de connexion officielle. D’autre part, il permet au cybercriminel de garder la page d’hameçonnage à l'abri des robots et des collecteurs. Une fonction de validation encore plus sophistiquée des entrées garantit que la victime ne peut passer aux étapes de vérification du compte que si elle a saisi des bonnes valeurs pour chaque champ de texte donné. Le changement s’effectuera dynamiquement lorsque la page reconnaîtra le type d'appareil utilisé.
Une campagne d’hameçonnage plus simple que jamais
Il est relativement facile de transformer ce qui précède en une campagne d’hameçonnage parfaitement fonctionnelle. Cela complique encore plus la situation des entreprises qui tentent de se défendre contre les fraudes sophistiquées liées à la connexion à un compte et à l'ouverture d'un nouveau compte. Il suffit à un acteur malveillant d'acheter le modèle de page d'hameçonnage requis pour une banque spécifique, puis de l'attribuer à un domaine qu'il contrôle. Toutes les données volées avec succès sont ensuite envoyées à un système d’archivage de données sous leur contrôle et à leur compte Telegram ou à leur adresse électronique.
Attirer la victime est également le travail de l’attaquant, bien qu'il existe des techniques éprouvées pour cela, comme les campagnes d’hameçonnage par courrier électronique de masse et des versions plus ciblées utilisant les moteurs de recherche et la publicité sur les réseaux sociaux. Il s'agit de fraude et de cybercriminalité hautement professionnalisées et à grande échelle.
La contre-attaque
Comment les banques et autres entreprises fréquemment visées, telles que les e-commerçants et les spécialistes de la crypto-monnaie peuvent-elles se défendre ? La première étape consiste à éduquer les clients afin qu'ils puissent mieux repérer le premier e-mail d’hameçonnage ou la première tactique d'ingénierie sociale. Les filtres anti-spam réglés pour détecter les indicateurs d’hameçonnage tels que les virus, les expéditeurs vides et les mots-clés peuvent également être utiles. Les clients doivent également être encouragés à installer des logiciels anti-malware et des filtres web pour bloquer respectivement les pièces jointes et les sites web malveillants.
Côté sécurité informatique des entreprises, le renseignement sur les menaces s’avère un allié essentiel dans la lutte contre l’hameçonnage sophistiqué. Il est aussi recommandé de surveiller des domaines de typosquattage potentiels utilisés dans les attaques par hameçonnage, y compris ceux des fournisseurs tiers et des partenaires ayant accès au réseau de l'entreprise, sans oublier les tactiques, techniques et procédures (TTP) populaires des campagnes d’hameçonnage. Plus vous en savez, mieux vous êtes préparé !