L'hameçonnage continue d'être une menace en ligne très dangereuse, car les acteurs de la menace persistent à améliorer leurs méthodes. L'un des derniers succès phishing campagnes a été récemment détectée par Akamai Security Research. L'équipe "a observé un nouveau kit de phishing très sophistiqué" qui imite un certain nombre de marques de vente au détail populaires avant la période des fêtes.
Les taux de réussite élevés du kit de phishing sont dus à un mélange de techniques d'évasion et d'astuces d'ingénierie sociale. L'un des aspects notables du kit est un système basé sur des jetons qui confirme que chaque victime est redirigée vers une URL de phishing unique.. En outre, l'auteur de la menace utilise des raccourcisseurs d'URL, faux profils d'utilisateurs et témoignages, et même un CDN pour atteindre la résilience des infrastructures.
Faux clients et témoignages d'utilisateurs
Les chercheurs ont effectué une analyse détaillée des faux profils de clients. Un faux utilisateur en particulier, Nathalie Hamilton, a été recyclé avec de légères modifications dans les différents modèles d'escroquerie. Les commentaires d'examen des prix ont également été personnalisés, paraissant légitime à première vue. Ce qui a révélé l'arnaque, c'est la forte similitude des commentaires entre les offres de prix, qui passerait inaperçu pour un utilisateur en ligne moyen.
Fragmentation d'URI
La fragmentation d'URI est une autre caractéristique intéressante du kit, et une nouvelle technique d'évasion. C'est à propos de quoi?
"L'identifiant de fragment d'URL est un signe dièse (#), également connu sous le nom d'ancre HTML, dans le lien URI qui pointe un navigateur vers un endroit spécifique d'une page ou d'un site Web. Il s'agit d'une technique couramment utilisée dans les tables des matières ou autres listes de catégorisation pour une meilleure expérience utilisateur. Les valeurs se trouvant après l'ancre HTML ne seront pas considérées comme des paramètres HTTP et ne seront pas envoyées au serveur, pourtant cette valeur sera accessible par le code JavaScript s'exécutant sur le navigateur de la victime. Dans le cadre d'une escroquerie par hameçonnage, la valeur placée après l'ancre HTML peut être ignorée ou négligée lorsqu'elle est analysée par des produits de sécurité qui vérifient si elle est malveillante ou non. Cette valeur sera également manquée si elle est visualisée par un outil d'inspection du trafic,» Les chercheurs ont expliqué.
Quelle est la conclusion des chercheurs? Ce kit de phishing prouve pourquoi les escroqueries par phishing continuent d'avoir autant de succès. Les acteurs de la menace connaissent bien les mesures d'atténuation, l'ingénierie sociale, et diverses tactiques qui rendent la détection presque impossible. "Ce billet de blog n'est pas une fouille de l'efficacité d'un produit de sécurité ou d'un fournisseur - il montre plutôt comment même plusieurs couches de défense peuvent être érodées pour atteindre un objectif malveillant," l'équipe conclu.
Un autre exemple de kit de phishing-as-a-service réussi a été détecté en septembre. Appelé EvilProxy, la plateforme est spécialisée dans les campagnes de reverse proxy phishing visant à contourner la MFA [authentification multi-facteurs] mécanismes.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: