Ce n’est pas parce qu’un service légitime vous demande vos identifiants de connexion que vous n’êtes pas victime d’une escroquerie.

Selon les chercheurs de l’Unité 42, la branche cybersécurité de Palo Alto Networks, les cybercriminels abusent de plus en plus des plates-formes SaaS (Software-as-a-Service) authentiques, y compris divers constructeurs de sites Web et de formulaires, pour héberger des pages de phishing. L’utilisation de ces services honnêtes permet aux fraudeurs de donner un air de légitimité à leurs escroqueries.

« C’est très astucieux, car ils savent que nous ne pouvons pas bloquer des sites comme Google et d’autres géants de la technologie », a déclaré par courriel Adrien Gendre, Chief Tech and Product Officer chez Vade Secure, fournisseur de solutions de sécurité des e-mails. « Mais malgré le fait qu’il est plus difficile de détecter le phishing lorsqu’une page est hébergée sur un site à forte réputation, ce n’est pas impossible. »

Comment tester rapidement des sites Web avec le serveur Web intégré de PHP

Les vrais faux

Utiliser des services légitimes pour inciter les utilisateurs à donner leurs identifiants de connexion n’est pas nouveau. Cependant, les chercheurs ont remarqué une augmentation massive de plus de 1100% de l’utilisation de cette stratégie entre juin 2021 et juin 2022. Outre les créateurs de sites Web et de formulaires, les cyber-escrocs exploitent des sites de partage de fichiers, des plateformes de collaboration, etc.

Selon les chercheurs, la popularité croissante des services SaaS authentiques auprès des cybercriminels s’explique principalement par le fait que les pages hébergées dans ces services ne sont généralement pas signalées par les différents filtres de fraude et d’escroquerie, ni dans le navigateur Web ni dans les clients de messagerie.

En outre, non seulement ces plateformes SaaS sont plus faciles à utiliser que la création d’un site Web à partir de zéro, mais elles leur permettent également de passer rapidement à une autre page de phishing si l’une d’elles est détruite par les forces de l’ordre.

Cette utilisation abusive de services authentiques à des fins de phishing ne surprend pas Jake, Senior Threat Hunter dans une société de renseignement sur les menaces, spécialisé dans le phishing de créances, et qui ne souhaite pas être identifié alors qu’il enquête sur des campagnes de phishing actives.

S’il reconnaît qu’il faut généralement un peu plus d’efforts pour détecter ce type d’abus, ce n’est pas impossible, ajoutant que ces services légitimes sont souvent plus enclins à agir sur les rapports d’abus, ce qui facilite grandement le démantèlement des sites malveillants.

Lors d’une discussion sur Twitter, Jake a déclaré que la plupart des campagnes de phishing, y compris celles hébergées sur des services légitimes, présentent des signes révélateurs évidents pour toute personne attentive.

« Ces services légitimes ont souvent des bannières ou des pieds de page que les acteurs de la menace ne peuvent pas supprimer. Ainsi, des sites tels que Wix ont une bannière en haut de page, les formulaires Google ont un pied de page indiquant de ne jamais saisir de mots de passe dans les formulaires, etc.

Des yeux vigilants

M. Gendre ajoute que, même si le domaine est fiable, la page d’hameçonnage présentera probablement des anomalies dans l’URL et le contenu de la page elle-même.

Jake est d’accord avec lui et ajoute que, pour commencer, la page de hameçonnage des informations d’identification sera toujours hébergée sur le site Web abusé plutôt que sur le service dont les informations d’identification sont recherchées. Par exemple, si vous trouvez une page de réinitialisation de mot de passe pour Gmail hébergée sur le site d’un constructeur de sites Web comme Wix, ou d’un constructeur de formulaires comme Google Forms, vous pouvez être sûr que vous avez atterri sur une page de phishing.

De plus, avec un peu de vigilance, ces attaques peuvent être stoppées net, suggèrent les chercheurs. Comme les autres attaques de phishing, celle-ci commence aussi par un courriel frauduleux.

« Les utilisateurs doivent se méfier de tout courriel suspect qui utilise un langage sensible au temps pour inciter l’utilisateur à prendre une sorte d’action urgente », ont déclaré les chercheurs d’Unit42.

M. Gendre estime que la plus grande arme contre ces attaques est la patience, expliquant que « les gens ont tendance à ouvrir et à répondre aux courriels très rapidement. Les utilisateurs devraient prendre le temps de lire et d’inspecter l’e-mail pour déterminer si quelque chose est suspect. »

Jake suggère également aux gens de ne pas cliquer sur les liens contenus dans les courriels et de visiter plutôt le site web du service qui a apparemment envoyé le courriel, soit en entrant directement son URL, soit en utilisant un moteur de recherche.

« Si vous êtes en mesure d’utiliser un gestionnaire de mots de passe, ces produits sont capables de faire correspondre l’URL cible avec la page actuelle que vous utilisez, et si elles ne correspondent pas, il ne saisira pas votre mot de passe, ce qui devrait tirer la sonnette d’alarme », a déclaré Jake.