Actualités de la sécurité

Découvrez cette nouvelle méthode de phishing

David Strom 11 janv. 2022

Continuez à utiliser la MFA (authentification multi-facteurs) pour protéger vos connexions

Après des années de recherche,  des informaticiens de l'université de Stony Brook et des chercheurs du secteur privé ont découvert  plus de 1 000 nouvelles techniques d'hameçonnage toujours plus sophistiquées . Ces techniques peuvent entre autre aider à contourner l'authentification multifactorielle (MFA) de presque tous les sites web en utilisant deux techniques clés, l'attaque de l'homme du milieu (MITM) et les proxy web inversés. Voyons comment l'attaque fonctionne, comment ces outils ont été découverts et ce que vous pouvez faire pour continuer à utiliser l'authentification multifactorielle pour protéger vos propres connexions.

La MFA typique utilise un code supplémentaire à usage unique (généralement six chiffres) qui ne fonctionne que pendant une minute lorsqu'il est demandé par un utilisateur qui tente de se connecter à son compte. Le code est envoyé par différentes méthodes - nous vous avons déjà expliqué pourquoi l'utilisation de SMS n'est pas aussi efficace que l'utilisation d'une application MFA distincte pour smartphone.

Les outils d'automatisation du phishing interceptent ce code, soit en volant un cookie sur votre ordinateur, soit en vous incitant à envoyer le code à l'attaquant lorsque vous pensez le taper à l'endroit légitime dans le cadre de votre processus de connexion. Cet article explique la différence entre ces deux méthodes et comprend également une vidéo dans laquelle les chercheurs qui ont découvert les boîtes à outils présentent leurs conclusions.

Les outils de phishing sont dotés d'un niveau d'automatisation impressionnant : ils peuvent facilement récupérer des copies statiques de pages Web actuelles à partir de sites Web ciblés, les servir aux victimes et empêcher la détection grâce à des mécanismes de dissimulation, tout en demandant un effort minimal aux attaquants. La nouvelle version utilise des serveurs proxy inversés malveillants qui transmettent les demandes et les réponses entre la victime et le serveur Web cible, tout en extrayant les informations d'identification et les cookies de session utilisés dans le processus d'authentification. Cela présente deux avantages importants : premièrement, l'attaquant n'a pas à s'inquiéter de la mise à jour du faux site Web, puisque le "vrai" site Web cible est vu par l'utilisateur. Deuxièmement, l'automatisation remplace le besoin de communication manuelle pour obtenir le code d'accès MFA à usage unique.

Les serveurs proxy inversés existent depuis presque aussi longtemps que les serveurs Web originaux et sont utilisés de diverses manières légitimes pour simplifier la sécurité et équilibrer les charges de trafic des serveurs Web. Parmi les versions open source les plus populaires, citons Squid et Nginx, et ils sont également intégrés dans divers courtiers commerciaux de sécurité d'accès au cloud. Mais comme tout ce qui se trouve sur Internet, il existe des façons d'utiliser ces serveurs à bon ou à mauvais escient. L'un des utilisateurs les plus tristement célèbres des proxies inversés est Adrian Lamo, un pirate informatique qui les a déployés pour s'introduire dans divers systèmes commerciaux. J'ai rencontré Lamo en 2002, avant qu'il ne soit condamné pour une tentative d'attentat contre le New York Times et avant qu'il ne devienne tristement célèbre pour avoir donné Chelsea Manning comme source de la fuite de documents du gouvernement américain à Wikileaks.

Les chercheurs ont analysé 13 versions différentes de kits de phishing et ont créé des empreintes digitales pour le trafic Web qui passe par ces outils. Cette empreinte a été codée dans un programme de test appelé PHOCA et mis à disposition sur GitHub pour que d'autres chercheurs puissent l'essayer. À partir de mars 2020, ils ont fait passer divers sites de phishing par PHOCA pendant un an et ont constaté que 1 220 sites utilisaient des kits de phishing correspondant à leur profil.

Cela représente un grand bond dans leur popularité, qui pourrait être attribué au fait que la plupart de ces outils de phishing sont gratuits à télécharger et faciles à apprendre à utiliser (grâce à diverses vidéos tutorielles en ligne et à des forums de piratage). Le diagramme du fonctionnement de PHOCA est reproduit ci-dessous à partir du document de recherche :

Les outils de phishing sont également faciles à déployer dans une infrastructure d'hébergement en nuage, car ils sont à la fois rapides à installer et à supprimer. La moitié des domaines de phishing ont été enregistrés une semaine avant le lancement des attaques, et un tiers de ces outils partagent une adresse IP commune avec un domaine légitime. Ces deux méthodes rendent la détection plus difficile et donnent un aperçu de la façon dont les attaquants travaillent.

L'un des résultats intéressants est que ces kits de phishing occupent un angle mort dans les listes de blocage de phishing, avec moins de la moitié des domaines et un cinquième des adresses IP associées trouvées sur ces listes de blocage, y compris dans une collection commerciale. Cela signifie que de meilleurs algorithmes de détection sont nécessaires pour arrêter les attaques potentielles, et un fournisseur de sécurité a déjà mis en œuvre les règles PHOCA dans ses propres scanners de réseau. "Les services de listes de blocage du phishing doivent adopter une approche plus proactive dans la découverte du contenu du phishing", affirment les auteurs de l'article.


Quelles sont les principales conclusions de ce travail ?

Tout d'abord, les chercheurs ont fait une observation intéressante : "Le proxy de trafic en temps réel des boîtes à outils de phishing MITM qui leur permet de lancer de puissantes attaques de phishing les expose également à des empreintes digitales qui ne sont pas disponibles pour les techniques de phishing traditionnelles." C'est certainement un avantage appréciable.

Deuxièmement, les sites web devraient mettre en œuvre des contre-mesures plus robustes. L'un des moyens d'y parvenir est d'utiliser un canal de communication distinct pour effectuer les connexions MFA. Par exemple, les utilisateurs pourraient recevoir une URL de rendez-vous par le biais d'un deuxième canal de communication sécurisé, tel que le courrier électronique.

Enfin, les sites Web devraient faire davantage d'efforts pour mettre en œuvre les protocoles universels à deux facteurs de la FIDO en tant que méthode MFA privilégiée. Cela permettra de déjouer les attaques MITM et par proxy inverse.