Les cybercriminels profitent des outils en ligne ouverts et accessibles de Google pour contourner les filtres de sécurité habituels, dit Armorblox.

Hameçonnage

Image: iStockphoto / weerapatkiatdumrong

L’un des principaux défis auxquels est confronté tout type de cyberattaque est de dépasser les défenses de sécurité. Et l’une des façons dont les attaquants gèrent cet exploit est d’utiliser des services légitimes pour mener à bien différentes phases d’une campagne. Un article de blog publié jeudi par la société de cybersécurité Armorblox détaille comment les campagnes de phishing utilisent certaines des technologies disponibles auprès de Google et offre des conseils sur la façon de vous protéger.

VOIR: Cybersécurité: soyons tactiques (PDF gratuit) (TechRepublic)

Dans le message intitulé “OK Google, créez-moi une campagne de phishing“, Arjun Sambamoorthy, co-fondateur et responsable de l’ingénierie d’Armorblox, explique que Google est une cible propice à l’exploitation en raison de la nature libre et démocratisée de bon nombre de ses services.

Adoptées par tant d’utilisateurs légitimes, les API ouvertes de Google, les intégrations extensibles et les outils conviviaux pour les développeurs ont également été cooptés par des cybercriminels cherchant à frauder des organisations et des individus.

Plus précisément, les attaquants utilisent les propres services de Google pour se faufiler au-delà des filtres de sécurité binaires qui recherchent le trafic en fonction de mots clés ou d’URL. Le billet de blog décrit cinq campagnes de phishing différentes pour illustrer comment Google est exploité.

Hameçonnage des identifiants American Express

Dans cette campagne, les attaquants déploient des e-mails de phishing usurpant l’identité du service client American Express, indiquant aux destinataires qu’ils ont omis certaines informations lors de la validation de leur carte de crédit. L’e-mail comprend un lien vers une page de phishing où les utilisateurs peuvent ajouter les informations manquantes pour valider leur carte.

En demandant des informations telles que les identifiants de connexion, les numéros de carte et le nom de jeune fille de la mère, la page de phishing est hébergée sur un formulaire Google. En tant que tel, l’e-mail initial est capable de contourner tous les filtres de sécurité qui recherchent des liens incorrects ou des domaines malveillants. Étant donné que le domaine de Google et les formulaires Google sont tous deux dignes de confiance, un filtre de sécurité typique laisserait passer cet e-mail.

Reconnaissance d’escroquerie de bienfaiteur

Cette campagne utilise une tactique bien connue et évidente en se faisant passer pour une veuve sans enfant qui veut se séparer de beaucoup d’argent mais n’a nulle part où l’envoyer. L’e-mail demande aux personnes qui souhaitent recevoir de l’argent de cliquer sur un lien ou de répondre à l’adresse de l’expéditeur.

Le lien redirige les destinataires vers un formulaire Google apparemment vide avec une question sans titre et une option de réponse (option 1). Bien que cela semble être une erreur de la part des attaquants, ce type de formulaire est en fait une technique de reconnaissance courante, selon Armorblox. Les utilisateurs sans méfiance soumettront le formulaire factice ou répondront directement à l’expéditeur. Ces réponses aident les attaquants à réduire leurs victimes potentielles aux destinataires les plus naïfs et émotionnellement sensibles.

formulaire-arnaque-ancien-final-min-armorblox.jpg

Image: Armorblox

Usurpation d’identité de l’équipe de sécurité

Dans celui-ci, les cybercriminels usurpent l’équipe d’administration de la sécurité d’une organisation avec un e-mail informant le destinataire qu’il n’a pas réussi à recevoir certains messages vitaux en raison d’un problème de quota de stockage. Un lien dans l’e-mail demande à l’utilisateur de vérifier ses informations afin de reprendre la livraison de l’e-mail.

Le lien dans l’e-mail mène à une fausse page de connexion hébergée sur Firebase, la plate-forme mobile de Google pour créer des applications, héberger des fichiers et des images et diffuser du contenu généré par les utilisateurs. Ce lien passe par une redirection avant d’atterrir sur la page Firebase, confondant tout produit de sécurité qui tente de suivre l’URL jusqu’à son emplacement final. Comme il est hébergé par Google, l’URL parente de la page échappera à la plupart des filtres de sécurité.

Arnaque par bulletin de paie

Pour cette campagne, les attaquants se font passer pour l’équipe de paie d’une organisation en envoyant un e-mail aux employés avec les détails de leur fiche de paie. Le message contient un lien permettant aux destinataires de cliquer pour vérifier que les informations personnelles de leurs fiches de paie sont correctes. Le lien dans l’e-mail mène à une page hébergée sur Google Docs dans le but de tromper à la fois l’utilisateur et les filtres de sécurité traditionnels.

fiche de paie-arnaque-email-final-min-armorblox.jpg

Image: Armorblox

Phishing d’informations d’identification Microsoft Teams

Dans cette campagne, l’e-mail de phishing prétend provenir de l’équipe informatique d’une organisation, demandant aux destinataires d’examiner un message sécurisé partagé par des collègues utilisant Microsoft Teams. Cliquez sur le lien pour diriger les utilisateurs vers une page conçue pour ressembler à une page Teams, qui les redirige ensuite vers un site de phishing d’informations d’identification qui ressemble au portail de connexion Office 365.

En coulisses, le portail de connexion Office 365 est hébergé sur Google Sites, un outil de création de wiki et de page Web. Selon Armorblox, cette page passerait à la rencontre de nombreuses personnes, en particulier par une matinée chargée lorsque le courrier électronique de phishing initial était effectivement déployé.

Recommandations

Pour vous aider à vous protéger et à protéger votre organisation contre ces types d’attaques de phishing, Armorblox propose les quatre conseils suivants:

Suivez les meilleures pratiques en matière de 2FA et de gestion des mots de passe. Étant donné que tous les comptes professionnels sont étroitement liés, la perte d’accès à votre compte Google peut être dangereuse, car les cybercriminels peuvent envoyer des e-mails en votre nom à vos clients, partenaires et proches. Si vous ne l’avez pas déjà fait, suivez ces bonnes pratiques d’hygiène. Pour mieux sécuriser votre compte, utilisez l’authentification à deux facteurs (2FA), stockez les mots de passe de votre compte avec un gestionnaire de mots de passe et ne répétez pas les mots de passe entre les comptes ou n’utilisez pas de mots de passe génériques.

Soumettez les e-mails sensibles à des tests oculaires rigoureux. Dans la mesure du possible, interagissez avec les e-mails liés à l’argent et aux données de manière rationnelle. Soumettez l’e-mail à un test visuel qui comprend l’inspection du nom de l’expéditeur, de l’adresse e-mail de l’expéditeur, de la langue dans l’e-mail et de toute incohérence logique dans l’e-mail (par exemple, pourquoi cette veuve sans enfant est-elle prête à m’envoyer des millions de dollars?).

Créez vos propres lignes d’authentification. Essayez de reproduire 2FA, même dans un sens vague, pour tout e-mail qui fait des demandes inhabituelles liées à l’argent ou aux données. Par exemple, votre représentant des ressources humaines vous a-t-il simplement envoyé des informations sur la paie par e-mail avec un document Google demandant plus d’informations de toute urgence? Appelez ou envoyez un SMS au représentant des ressources humaines et confirmez qu’il a envoyé l’e-mail.

Augmentez la détection native des menaces par e-mail avec des contrôles supplémentaires. Pour augmenter les capacités de sécurité de messagerie existantes (par ex. Exchange Online Protection pour Office 365 ou le Programme de protection avancée pour G Suite), les entreprises doivent adopter des technologies qui adoptent une approche différente de la détection des menaces. Plutôt que de rechercher dans des listes statiques et de bloquer les domaines défectueux connus, ces technologies devraient tirer des leçons des données organisationnelles personnalisées et être en mesure de stopper les menaces d’ingénierie sociale qui contiennent des charges utiles zero-day telles que Google Forms, Docs ou des pages créées sur Google Sites.

Regarde aussi

Leave a Reply