Phishing Avancé : Comment les Hackers Utilisent les Services de Protection pour Masquer les Liens ?

Exploitation des Services de Protection d’URL

Dans les attaques identifiées par Barracuda, qui ont ciblé des centaines d’organisations, les attaquants ont réussi à « envelopper » leurs propres liens de phishing dans un domaine de service de protection légitime, diminuant ainsi la probabilité de détection et de filtrage automatiques. Les chercheurs de Barracuda ont affirmé que les attaquants ont probablement utilisé des comptes d’entreprise déjà compromis pour générer les liens pré-encapsulés. Après avoir envoyé les liens de phishing aux comptes compromis sous leur contrôle, les attaquants pourraient copier l’URL réécrite pour l’inclure dans leurs e-mails de phishing ultérieurs.

Techniques Utilisées dans la Campagne

Les courriels liés à cette campagne comprenaient de faux rappels de réinitialisation de mot de passe et de faux documents DocuSign qui attiraient les victimes vers des sites Web de phishing malveillants. Les domaines de phishing liés à la campagne incluaient wanbf[.]com et clarelocke[.]com.

Réponse et Recommandations

SC Media a demandé à Barracuda si les analyses effectuées par le service de protection des URL permettraient de stopper ces attaques en empêchant l’utilisateur d’être redirigé vers le domaine de l’attaquant. Un porte-parole de Barracuda a déclaré que les propres produits de la société détecteraient les domaines malveillants, mais n’a pas fait de commentaires sur d’autres services de protection des e-mails.

« Les organisations doivent déployer des produits qui fournissent plusieurs couches de défense. Au sein de la protection des e-mails de Barracuda, nous avons la technologie ML combinée à LinkProtect qui garantit le moins d’interaction possible », a déclaré Barracuda à SC Media.

Phishing : Une Évolution Constante

Masquage des Liens de Phishing

Le blog de Barracuda souligne que la dernière campagne est similaire aux campagnes précédentes où les attaquants ont utilisé des services légitimes de raccourcissement de liens pour masquer une URL malveillante. En fait, les cybercriminels ont déployé de nombreuses tactiques pour masquer les liens de phishing avec des domaines légitimes.

En octobre dernier, Cofense a découvert une recrudescence des campagnes de phishing utilisant les liens intelligents LinkedIn pour diriger les cibles vers des sites Web malveillants. Les liens intelligents LinkedIn sont générés via le Sales Navigator de LinkedIn pour fournir du contenu et suivre l’engagement. Comme ils sont connectés au domaine LinkedIn, ils sont moins susceptibles d’être signalés comme malveillants par les services de sécurité de messagerie.

Utilisation de Google AMP et Services Cloud

Les attaquants ont également utilisé le framework Accelerated Mobile Pages (AMP) de Google pour ajouter des URL malveillantes aux liens google.com, ce qui permet d’éviter la détection en raison du statut de confiance de Google, a rapporté Cofense en août dernier.

Les cybercriminels ont également utilisé des services de cloud public comme Google Cloud pour héberger des kits de phishing et générer des URL apparemment légitimes, a révélé Resecurity dans un article de blog de février 2024.

Importance d’une Protection Multiniveaux

De telles tactiques soulignent la nécessité d’une protection du courrier électronique à plusieurs niveaux qui va au-delà du filtrage de domaine de base. La protection de messagerie moderne doit inclure des technologies avancées telles que l’apprentissage automatique pour analyser les comportements suspects et les anomalies dans les communications. Les entreprises doivent également former leurs employés à reconnaître les signes de phishing et à signaler immédiatement toute activité suspecte.