Alors que les défenseurs parviennent de mieux en mieux à contrecarrer les outils et les procédés d’hameçonnage, leurs adversaires trouvent de nouveaux moyens de contourner les mesures de détection pour atteindre leurs victimes potentielles. Par exemple, un grand nombre d’attaques d’hameçonnage recourent à la même méthode : il s’agit de convaincre les cibles de cliquer sur un lien malveillant dirigeant vers une page web nocive, page sur laquelle les pirates tentent de se procurer les informations d'identification de leurs victimes.
Les outils de sécurité étant devenus plus efficaces pour détecter ces liens, les pirates ont commencé à employer de nouvelles techniques pour les dissimuler. L’un de ces procédés consiste à camoufler les adresses de redirection en utilisant des services de raccourcissement licites pour des liens malveillants. À l’heure actuelle, ces procédés sont en train de se transformer en stratégies techniques très élaborées qui tirent parti de la réputation de certains noms commerciaux et domaines.
Des chercheurs de Barracuda ont récemment mis en lumière une catégorie d'attaques d’hameçonnage pour laquelle des liens malveillants sont camouflés par le biais de services licites. Les pirates dissimulent leurs liens en utilisant à mauvais escient des services de protection d’adresses web et les internautes imprudents sont malheureusement enclins à cliquer sur ces liens.
La protection des adresses web mise en œuvre contre elle-même
À partir de la mi-mai 2024, les chercheurs de Barracuda ont observé que trois services distincts de protection d'adresses web étaient utilisés lors d’attaques d’hameçonnage, le but étant de masquer les adresses de pages malveillantes. Ces services sont fournis par des prestataires fiables et licites. À ce jour, les attaques concernées ont visé des centaines d'entreprises, voire plus.
Les services de protection d’adresses web fonctionnent comme suit : si une adresse web est incluse dans un e-mail, le service la copie, la réécrit puis incorpore l'adresse initiale dans celle qui a été modifiée.
Lorsqu’un destinataire d’un de ces e-mails clique sur un lien ainsi « enveloppé », une analyse de sécurité de l’adresse web de départ est déclenchée. Si cette analyse ne révèle rien de suspect, le destinataire est redirigé vers l’adresse en question. Lors des attaques constatées, les victimes étaient redirigées vers des pages d’hameçonnage conçues pour recueillir frauduleusement des informations sensibles.
Comment les pirates peuvent-ils accéder aux services qu’ils utilisent ?
Au départ, il est probable que c’est en usurpant les comptes d’utilisateurs légitimes que les pirates ont gagné accès aux services de protection d’adresses web. Cet accès a pu être obtenu intentionnellement ou fortuitement.
Une fois qu’un pirate a pris le contrôle d'un compte de messagerie électronique, il peut se faire passer pour le détenteur légitime du compte, s'infiltrer dans les communications électroniques de cette personne et lire ses messages. Ce type d’attaque est aussi appelé compromission de messagerie d’entreprise (business email compromise, BEC) ou détournement de conversations.
L’étape suivante consiste à analyser les liens inclus dans les e-mails liés au compte piraté, ainsi que la signature électronique de son utilisateur. Cet examen révèle si un service de protection d’adresses web est utilisé et, si oui, lequel.
Pour tirer parti de ces services de protection afin de réécrire les adresses web de leurs propres pages d’hameçonnage, les pirates peuvent procéder de deux façons. Le première est très peu utilisée, car elle nécessite un accès aux systèmes internes d’un service pour faire réécrire les adresses malveillantes. La plupart du temps, les pirates se servent des comptes compromis pour s’envoyer à eux-même des e-mails contenant des liens vers leurs pages d’hameçonnage.
Lors de la transmission de ces messages, le service de sécurisation d’e-mails choisi par l’utilisateur initial entre en jeu. Il réécrit les adresses web des pages d’hameçonnage à l’aide de ses propres liens de protection. Les pirates peuvent alors se servir de ces liens pour dissimuler les adresses web malveillantes utilisées pour leurs campagnes d'hameçonnage.
Pour les prestataires de services de protection, il n’est pas toujours possible de déterminer si une adresse web de redirection est utilisée par un de leurs clients ou par un intrus qui a pris le contrôle d’un compte.
Des liens web malveillants camouflés ont été inclus dans des e-mails provenant de domaines comme wanbf[.]com et clarelocke[.]com. Ils étaient conçus pour ressembler à des liens DocuSign ou à des rappels de réinitialisation de mot de passe.
Conclusion
Les attaques décrites ci-dessus peuvent facilement échapper aux outils conventionnels de sécurité utilisés pour les e-mails. Le moyen de défense le plus efficace consiste à appliquer une stratégie multicouche, avec différents niveaux de protection permettant de détecter et de bloquer les opérations inhabituelles ou inattendues, quel que soit leur degré de complexité. Avec des outils qui disposent de capacités d’apprentissage automatique, aussi bien pour le stade de la passerelle que pour les e-mails déjà transmis, les entreprises sont assurées d’être bien protégées.
Comme pour toutes les menaces transmises par e-mail, la mise en œuvre de mesures de sécurité doit être accompagnée de séances régulières et dynamiques de formation pour sensibiliser les employés aux risques. Il est indispensable que cette formation couvre les dernières menaces, les moyens de les déceler et les actions à prendre pour les signaler.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
