Tendance du moment : le phishing des identifiants à travers les documents cloud – Proofpoint

I will not hesitate to use it

Les documents cloud étant de plus en plus utilisés, les auteurs de phishing en profitent pour leurrer les destinataires de leurs messages et renforcer leur efficacité.

Le phishing des identifiants reste une technique répandue lors des campagnes de courriers malveillants, et maintenant Outlook Web Access vient rejoindre les autres comptes Webmail dans la liste des cibles privilégiées. Les documents cloud étant de plus en plus utilisés, les auteurs de phishing en profitent pour leurrer les destinataires de leurs messages et renforcer leur crédibilité et leur efficacité.

Un exemple récent étudié par les chercheurs de Proofpoint a mis en lumière les principaux éléments de ce type d’attaque, ainsi qu’une innovation très astucieuse imaginée par les criminels. Actuellement, le phishing des identifiants Google Apps fait partie des menaces les plus diffusées à travers les courriers électroniques suivies par les experts de Proofpoint. Et les entreprises qui ont adopté Google Apps pour leurs opérations internes régulières sont particulièrement exposées à ce risque.

Dans cet exemple, plutôt que d’ouvrir directement une page de connexion fictive, le lien frauduleux dirige la victime vers une page de partage de documents Google Docs très réaliste.

Proofpoint1

Cette page est une réplique parfaite d’une page Google authentique, sauf qu’elle utilise le protocole HTTP et non HTTPS. S’il n’y prend pas garde, le destinataire clique sur le bouton de téléchargement et voit apparaître une page de connexion Google, elle aussi presque identique à l’originale.

Proofpoint2

Pour optimiser son potentiel malveillant, le document frauduleux prend en charge des services Webmail supplémentaires, tels que Yahoo, Hotmail, AOL et même une option « autre » dans laquelle la victime peut entrer ses identifiants professionnels. Les pirates peuvent ainsi accroître la portée de leur attaque en élargissant le spectre des identifiants visés.

Normalement, le subterfuge cesse lorsque la victime a saisi ses identifiants, mais dans ce cas les pirates poussent le vice jusqu’à afficher un document réel après l’identification.

Proofpoint3

Grâce à cette technique, l’utilisateur a moins de chance de s’apercevoir tout de suite du stratagème, ce qui laisse plus de temps aux pirates pour exploiter les identifiants volés. Ces quelques heures supplémentaires offrent aux criminels un délai plus que suffisant pour tirer profit des identifiants afin de délivrer une nouvelle vague de messages.

Le lancement d’une campagne de phishing des identifiants à partir de comptes Google compromis permet également, pour un effort relativement mineur, d’obtenir des ressources ciblées et très fiables. En effet, la récupération des contacts de la victime permet d’enrichir la liste des destinataires visés par l’étape suivante de la campagne.

Une variante de cette technique utilise un faux document Dropbox pour récupérer les identifiants du service de partage de documents cloud. Comme lors du phishing des identifiants Google Apps, la page de connexion présentée au destinataire est parfaitement crédible :

Cet exemple provient de la campagne de phishing des documents cloud lancée par un pirate qui semble privilégier une échelle d’action limitée. En effet, il diffuse généralement moins de 3 URL dans 30 à 50 messages par semaine,Proofpoint4 souvent en ciblant 10 entreprises, avec un maximum d’une trentaine. Dans un premier temps, les cibles étaient des sociétés travaillant dans la publicité et l’hébergement, l’objectif étant d’atteindre par la suite des entreprises de la finance.

Récemment, le criminel semble avoir changé de stratégie et se montrer pus opportuniste en choisissant moins ses victimes. Comme pour souligner la valeur relative de cette technique, le vol des adresses électroniques aux cadres des sociétés de la publicité et de l’hébergement a permis – intentionnellement ou non – de cibler des professionnels de la finance à travers plusieurs vagues de courriers électroniques de phishing.

Le piratage au moyen des services de documents cloud et des comptes d’applications multiplie la valeur d’un compte de courrier électronique piraté. Il permet d’aller encore plus loin en créant des campagnes qui sont immédiatement plus ciblées et plus efficace. Le phishing des identifiants à partir de documents cloud va devenir de plus en plus fréquent. En effet, les pirates l’utilisent pour échapper aux systèmes de défense qui, encore trop souvent, se concentrent sur des techniques bien connues et faciles à contrer.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Tendance du moment : le phishing des identifiants à travers les documents cloud – Proofpoint

I will not hesitate to use it 3rd avril, 2015

Les documents cloud étant de plus en plus utilisés, les auteurs de phishing en profitent pour leurrer les destinataires de leurs messages et renforcer leur efficacité.

Le phishing des identifiants reste une technique répandue lors des campagnes de courriers malveillants, et maintenant Outlook Web Access vient rejoindre les autres comptes Webmail dans la liste des cibles privilégiées. Les documents cloud étant de plus en plus utilisés, les auteurs de phishing en profitent pour leurrer les destinataires de leurs messages et renforcer leur crédibilité et leur efficacité.

Un exemple récent étudié par les chercheurs de Proofpoint a mis en lumière les principaux éléments de ce type d’attaque, ainsi qu’une innovation très astucieuse imaginée par les criminels. Actuellement, le phishing des identifiants Google Apps fait partie des menaces les plus diffusées à travers les courriers électroniques suivies par les experts de Proofpoint. Et les entreprises qui ont adopté Google Apps pour leurs opérations internes régulières sont particulièrement exposées à ce risque.

Dans cet exemple, plutôt que d’ouvrir directement une page de connexion fictive, le lien frauduleux dirige la victime vers une page de partage de documents Google Docs très réaliste.

Proofpoint1

Cette page est une réplique parfaite d’une page Google authentique, sauf qu’elle utilise le protocole HTTP et non HTTPS. S’il n’y prend pas garde, le destinataire clique sur le bouton de téléchargement et voit apparaître une page de connexion Google, elle aussi presque identique à l’originale.

Proofpoint2

Pour optimiser son potentiel malveillant, le document frauduleux prend en charge des services Webmail supplémentaires, tels que Yahoo, Hotmail, AOL et même une option « autre » dans laquelle la victime peut entrer ses identifiants professionnels. Les pirates peuvent ainsi accroître la portée de leur attaque en élargissant le spectre des identifiants visés.

Normalement, le subterfuge cesse lorsque la victime a saisi ses identifiants, mais dans ce cas les pirates poussent le vice jusqu’à afficher un document réel après l’identification.

Proofpoint3

Grâce à cette technique, l’utilisateur a moins de chance de s’apercevoir tout de suite du stratagème, ce qui laisse plus de temps aux pirates pour exploiter les identifiants volés. Ces quelques heures supplémentaires offrent aux criminels un délai plus que suffisant pour tirer profit des identifiants afin de délivrer une nouvelle vague de messages.

Le lancement d’une campagne de phishing des identifiants à partir de comptes Google compromis permet également, pour un effort relativement mineur, d’obtenir des ressources ciblées et très fiables. En effet, la récupération des contacts de la victime permet d’enrichir la liste des destinataires visés par l’étape suivante de la campagne.

Une variante de cette technique utilise un faux document Dropbox pour récupérer les identifiants du service de partage de documents cloud. Comme lors du phishing des identifiants Google Apps, la page de connexion présentée au destinataire est parfaitement crédible :

Cet exemple provient de la campagne de phishing des documents cloud lancée par un pirate qui semble privilégier une échelle d’action limitée. En effet, il diffuse généralement moins de 3 URL dans 30 à 50 messages par semaine,Proofpoint4 souvent en ciblant 10 entreprises, avec un maximum d’une trentaine. Dans un premier temps, les cibles étaient des sociétés travaillant dans la publicité et l’hébergement, l’objectif étant d’atteindre par la suite des entreprises de la finance.

Récemment, le criminel semble avoir changé de stratégie et se montrer pus opportuniste en choisissant moins ses victimes. Comme pour souligner la valeur relative de cette technique, le vol des adresses électroniques aux cadres des sociétés de la publicité et de l’hébergement a permis – intentionnellement ou non – de cibler des professionnels de la finance à travers plusieurs vagues de courriers électroniques de phishing.

Le piratage au moyen des services de documents cloud et des comptes d’applications multiplie la valeur d’un compte de courrier électronique piraté. Il permet d’aller encore plus loin en créant des campagnes qui sont immédiatement plus ciblées et plus efficace. Le phishing des identifiants à partir de documents cloud va devenir de plus en plus fréquent. En effet, les pirates l’utilisent pour échapper aux systèmes de défense qui, encore trop souvent, se concentrent sur des techniques bien connues et faciles à contrer.

By
@coesteve1
backtotop