Clé à emporter
- Les fraudeurs s'appuient de plus en plus sur des services authentiques, comme les créateurs de sites Web, pour héberger des campagnes de phishing, ont découvert des chercheurs.
- Ils pensent que l'utilisation de ces services légitimes tend à rendre ces escroqueries crédibles.
-
Les gens peuvent toujours détecter ces escroqueries en recherchant des signes révélateurs, suggèrent les experts en hameçonnage.
Ce n'est pas parce qu'un service légitime vous demande vos identifiants de connexion que vous n'êtes pas piégé.
Selon les chercheurs de l'Unité 42, la branche cybersécurité de Palo Alto Networks, les cybercriminels abusent de plus en plus des véritables plates-formes logicielles en tant que service (SaaS), y compris divers créateurs de sites Web et de formulaires, pour héberger du phishing. pages. L'utilisation de ces services fiables aide les fraudeurs à donner un air de légitimité à leurs escroqueries.
"C'est très intelligent parce qu'ils savent que nous ne pouvons pas [bloquer] les goûts de Google et d'autres géants [tech]", a déclaré Adrien Gendre, Chief Tech and Product Officer chez le fournisseur de sécurité de messagerie, Vade Secure, à Lifewire. e-mail. "Mais malgré le fait qu'il est plus difficile de détecter le phishing lorsqu'une page est hébergée sur un site Web de grande réputation, ce n'est pas impossible."
Véritable Faux
L'utilisation de services légitimes pour inciter les utilisateurs à donner leurs identifiants de connexion n'est pas nouvelle. Cependant, les chercheurs ont remarqué une augmentation massive de plus de 1100% de l'utilisation de cette stratégie entre juin 2021 et juin 2022. Outre les créateurs de sites Web et de formulaires, les cyber-escrocs exploitent des sites de partage de fichiers, des plateformes de collaboration, etc.
Selon les chercheurs, la popularité croissante des véritables services SaaS parmi les cybercriminels est principalement due au fait que les pages hébergées dans ces services ne sont généralement pas signalées par divers filtres de fraude et d'escroquerie, ni dans le navigateur Web ni dans les clients de messagerie.
De plus, non seulement ces plates-formes SaaS sont plus faciles à utiliser que pour créer un site Web à partir de zéro, mais elles leur permettent également de basculer rapidement vers une autre page de phishing en cas de suppression par les forces de l'ordre.
Cet abus de services authentiques à des fins d'hameçonnage ne surprend pas Jake, chasseur de menaces senior dans une société de renseignement sur les menaces, spécialisé dans l'hameçonnage d'identifiants et qui ne souhaite pas être identifié alors qu'il enquête sur des campagnes d'hameçonnage actives.
Bien qu'il reconnaisse qu'il faut généralement un peu plus d'efforts pour détecter de tels abus, ce n'est pas impossible, ajoutant que ces services légitimes sont souvent plus enclins à agir sur les signalements d'abus, ce qui facilite grandement la suppression des sites malveillants.
Dans une discussion avec Lifewire sur Twitter, Jake a déclaré que la plupart des campagnes de phishing, y compris celles hébergées sur des services légitimes, présentent des signes révélateurs évidents pour quiconque y prête attention.
"Ces services légitimes ont souvent des bannières ou des pieds de page que les pirates ne peuvent pas supprimer, donc des sites tels que Wix ont une bannière en haut, les formulaires Google ont un pied de page indiquant de ne jamais saisir de mots de passe dans les formulaires, etc., " dit Jake.
Yeux Épluchés
S'appuyant sur cela, Gendre dit que même si le domaine peut être digne de confiance, la page de phishing aura probablement des anomalies dans l'URL et le contenu de la page elle-même.
Jake est d'accord, ajoutant que, pour commencer, la page de phishing pour les informations d'identification sera toujours hébergée sur le site Web abusé plutôt que sur le service dont les informations d'identification sont recherchées. Par exemple, si vous trouvez une page de réinitialisation de mot de passe pour Gmail hébergée sur le site Web d'un créateur de site Web comme Wix ou d'un créateur de formulaires comme Google Forms, vous pouvez être assuré que vous avez atterri sur une page de phishing.
De plus, avec un peu de vigilance, ces attaques peuvent être étouffées dans leur offre, suggèrent les chercheurs. Tout comme les autres attaques de phishing, celle-ci commence également par un e-mail frauduleux.
"Les utilisateurs doivent se méfier des e-mails suspects qui utilisent un langage sensible au facteur temps pour inciter un utilisateur à prendre une sorte d'action urgente", ont déclaré les chercheurs d'Unit42.
Gendre pense que la plus grande arme des gens contre de telles attaques est la patience, expliquant que "les gens ont tendance à ouvrir et à répondre aux e-mails très rapidement. Les utilisateurs doivent prendre le temps de lire et d'inspecter l'e-mail pour déterminer si quelque chose est suspect."
Jake, lui aussi, suggère aux gens de ne pas cliquer sur les liens dans les e-mails et de visiter plutôt le site Web du service qui a apparemment envoyé l'e-mail, soit en saisissant son URL directement, soit via un moteur de recherche.
Si vous pouvez utiliser un gestionnaire de mots de passe, ces produits peuvent faire correspondre l'URL cible avec la page actuelle que vous utilisez, et s'ils ne correspondent pas, votre mot de passe ne sera pas saisi, ce qui devrait sonner l'alarme », a déclaré Jake.