Posté le août 24, 2022 à 8:25
LES ATTAQUES DE PHISHING ABUSANT DES PLATES-FORMES SAAS ONT CONNU UNE FORTE AUGMENTATION DE 1100%
Selon un rapport récent de l’unité 42 de Palo Alto Networks, les acteurs de la menace exploitent des plates-formes SaaS (Software-as-a-Service) légitimes, comme les espaces de marque personnelle et les créateurs de sites Web. Les hackers se servent de ces plateformes pour lancer des sites d’hameçonnage malveillants qui volent les identifiants de connexion.
Le rapport a révélé une augmentation significative des abus. Les données collectées par le cabinet d’études montrent que de juin 2021 à juin 2022, les activités de ces acteurs de la menace sur les plates-formes SaaS ont augmenté d’un étonnant 1,100 %.
Le SaaS offre plusieurs avantages aux attaquants
Ces acteurs de menaces utilisent de plus en plus le SaaS pour le phishing car il leur offre plusieurs avantages. L’un de ces avantages est de ne pas avoir à comprendre le codage qui permet de créer des sites Web d’apparence authentique. D’autres avantages consistent à profiter d’une haute disponibilité et à échapper aux alertes des systèmes de sécurité de la messagerie électronique.
En outre, les plateformes SaaS rationalisent et simplifient les processus de création de nouveaux sites. Il est ainsi plus facile pour les acteurs de la menace de passer d’un thème à l’autre, de diversifier et d’intensifier leurs opérations, ainsi que de réagir rapidement aux démantèlements. Cela leur permet de rester dans le jeu tout en restant persistants dans leurs attaques sur les systèmes.
L’Unit 42 a divisé les plates-formes compromises en six catégories. Il s’agit d’espaces de portfolio personnel, de prise de notes et de documentation, de plateformes d’écriture, de créateurs de sites Web, de sites de partage et d’hébergement de fichiers, ainsi que de créateurs de formulaires et d’enquêtes.
Le système de filtrage de Palo Alto Networks a découvert une augmentation des abus dans toutes les catégories. Toutefois, les créateurs de formulaires, les créateurs de sites Web et les plateformes de collaboration ont été identifiés comme les catégories les plus importantes.
Une hausse significative des constructeurs de formulaires
Les statistiques montrent également une augmentation notable en octobre 2021, principalement due à une augmentation rapide de l’utilisation abusive des constructeurs de formulaires.
L’année dernière, Cyren a fait état de l’utilisation effrénée de « typeform.com » pour le phishing. Un rapport plus ancien de Trend Micro a confirmé les abus de « formtools.com » et 123formbuilder.com ». Cofense a également mis en évidence l’exploitation de Canvacom » et l’a placé dans une structure similaire à d’autres.
Au cours de la même période, une autre vague a été découverte. Cette fois, elle a été amplifiée par l’utilisation abusive d’un site de marque personnelle que le rapport ne mentionne pas.
En outre, l’Unit 42 a expliqué que, dans plusieurs cas, les acteurs de la menace hébergeaient leurs pages de vol d’informations d’identification directement sur les services utilisés, ce qui leur permettait d’envoyer facilement des e-mails aux cibles avec une URL menant à la page.
Cependant, dans d’autres cas, les formulaires de vol d’informations d’identification ne se trouvent pas sur les pages de renvoi hébergées sur les serveurs abusifs. Ils redirigent plutôt la victime vers un autre site pour poursuivre leurs activités de piratage.
Les acteurs de la menace peuvent utiliser le fournisseur de services à toute épreuve pour héberger le site de phishing, car il ne répond pas aux demandes de retrait. Par conséquent, les auteurs du phishing peuvent suivre cette pratique pour augmenter le temps de fonctionnement de la campagne tout en renonçant au taux de conversion. Les chercheurs ont noté que les acteurs du phishing sont bien organisés et utilisent tous les types d’actions pour rester sous le radar et échapper aux programmes de sécurité.
En outre, les acteurs de la menace utilisent une approche différente pour empêcher un retrait, même si la page de phishing n’est pas bien protégée. Ils peuvent la cacher derrière une couche supplémentaire afin de réduire le travail nécessaire pour tout remettre en place en cas de retrait.
En outre, même si la dernière page de vol d’informations d’identification est retirée, l’acteur de la menace peut modifier le lien et rediriger vers une nouvelle page de vol d’informations d’identification. L’efficacité de la campagne principale reste ainsi intacte.
L’attaque pourrait persister pendant longtemps
Les chercheurs ont également admis qu’il sera très difficile de mettre fin à l’abus d’une plateforme SaaS légitime. Même la mise en place d’un filtre de messagerie agressif contre ces services ne servira à rien. C’est pourquoi ils sont devenus la meilleure option pour les acteurs du phishing et la raison pour laquelle leur abus a augmenté depuis l’année dernière. De plus en plus d’acteurs de la menace découvrent cette méthode et l’utilisent pour prendre pied sur les plateformes SaaS.
En conséquence, les chercheurs ont mis en garde les utilisateurs et leur ont indiqué ce qu’ils devaient faire dans ces situations. Ils doivent éviter de cliquer sur un message qui demande ou prétend demander une action urgente de la part de l’utilisateur.
Au lieu de répondre à ces messages par courrier électronique, les utilisateurs doivent utiliser des moteurs de recherche pour localiser le site Web légitime de la plateforme potentiellement usurpée. Les utilisateurs qui sont invités à saisir les détails de leur compte sur un site particulier doivent être très prudents. Ils doivent s’assurer qu’ils remplissent les formulaires sur le site légitime pour éviter d’être les malheureuses victimes des acteurs du phishing.
