Afin de donner de la crédibilité à leurs messages, les acteurs malveillants se font souvent passer pour des marques de confiance dans leurs campagnes de phishing. En fait, plus de 51 % des tentatives de phishing usurpaient l'identité de l'une des 20 plus grandes marques mondiales. Les dernières recherches révèlent désormais de quelle manière les cybercriminels intensifient leurs efforts. Ils ne se contentent plus d'usurper l'identité des marques, mais utilisent des services légitimes de ces marques pour diffuser leur contenu malveillant.
Le rapport sur les menaces de phishing en 2023 montre une augmentation des e-mails de phishing qui envoient des liens malveillants par l'intermédiaire de services légitimes proposés par des marques, comme LinkedIn et Baidu. Les acteurs malveillants ont utilisé ces services comme moyens de redirection vers leurs sites web dans le but de dérober les identifiants des utilisateurs. Ce mode opératoire s'ajoute à l'utilisation de services légitimes d'expédition d'e-mails, comme SendGrid.
Si l'appât spécifique utilisé dans ces campagnes varie bien évidemment, la majorité des tentatives de phishing consistaient à se faire passer pour DocuSign en envoyant des images telles que celle qui figure ci-dessous. Dans ce cas particulier, l'acteur malveillant a envoyé un e-mail dont l'objet s'intitulait « Document shared for 552 Friday-August-2023 07:07 AM ».
Figure 1 : image PNG utilisée dans l'e-mail d'usurpation d'identité de DocuSign
Comme illustré ci-dessus, l'acteur malveillant a utilisé une image PNG d'une demande DocuSign apparemment légitime associée à un hyperlien vers le moteur de recherche chinois populaire, Baidu :
hxxps://baidu[.]com/link?url=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp
HYUJ#targetemailaddress@domain.com
Le lien redirigeait alors vers : hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281
L'expéditeur a utilisé un domaine professionnel légitime, @ciptaprimayoga.com, qui semble être celui d'une entreprise indonésienne de batteries, probablement compromise par le passé. L'utilisation d'un domaine légitime permet à l'acteur malveillant de contourner les mesures de sécurité qui examinent l'âge du domaine (c'est-à-dire sa date de création) dans le cadre du processus d'atténuation.
Une fois que l'utilisateur clique sur le lien, l'entreprise du destinataire via le chemin URL est automatiquement représentée sur une page de connexion Microsoft personnalisée.
Nous avons cliqué sur le lien malveillant dans le cadre de nos recherches et une page de connexion personnalisée Cloudflare a chargé de manière dynamique le logo de l'entreprise et l'image de fond représentant le célèbre mur de lampes à lave Cloudflare.
Figure 2 : phishing par usurpation d'identité de Microsoft utilisant l'image de marque de Cloudflare
Après la saisie des identifiants (alors récoltés par l'acteur malveillant), le site web redirige l'utilisateur vers Office.com.
SendGrid est un autre service couramment utilisé de manière abusive pour envoyer des e-mails de phishing, comme le montre l'image ci-dessous, dans laquelle cette société de marketing par e-mail est utilisée pour envoyer des tentatives d'escroquerie téléphonique se faisant passer pour PayPal. L'utilisation de SendGrid permet aux acteurs malveillants de donner de la crédibilité à leurs campagnes et de contourner les techniques traditionnelles de sécurité du courrier électronique, comme les méthodes Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication Reporting and Conformance (DMARC).
Figure 3 : tentative d'escroquerie téléphonique usurpant l'identité de PayPal et envoyée via SendGrid
Cette escroquerie et les autres tentatives similaires essaient d'amener les utilisateurs à appeler le numéro de téléphone indiqué, acheminé vers un centre d'appel dans lequel des acteurs malveillants attendent de convaincre leurs victimes d'installer un logiciel malveillant, mais aussi de leur dérober des informations bancaires par téléphone.
89 % des mesures d'authentification des e-mails ne parviennent pas à arrêter les menaces. Alors que les techniques de phishing ne cessent de se multiplier et de se frayer un chemin vers la boîte de réception des utilisateurs, il devient plus important que jamais de renforcer la cyber-résilience et de l'intégrer à la culture de l'entreprise, afin de sécuriser cette dernière contre les menaces véhiculées par e-mail.
La solution Cloudflare Email Security s'appuie sur l'apprentissage automatique avanc é et l'intelligence artificielle pour identifier en temps réel les nouvelles tactiques employées par les acteurs malveillants dans le but de contourner les mesures de sécurité traditionnelles et les fournisseurs de messagerie cloud. Demandez une évaluation gratuite des risques de phishing afin de découvrir quelles attaques de phishing vos systèmes de sécurité du courrier électronique actuels peuvent laisser passer.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Téléchargez le rapport sur les menaces de phishing en 2023 pour découvrir l'ensemble de nos conclusions sur les dernières tendances, ainsi que nos recommandations pour empêcher la réussite d'une attaque.
Maaz Qureshi
Threat Response Engineer, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Certains services légitimes sont utilisés pour envoyer du contenu malveillant
89 % des mesures d'authentification des e-mails ne parviennent pas à arrêter les menaces
Comment la sécurité préventive du courrier électronique permet d'identifier de nouvelles tactiques de contournement des mesures de sécurité traditionnelles