L’équipe de sécurité par e-mail de Cloudflare a récemment découvert une nouvelle technique de phishing. Les attaquants utilisent des comptes de messagerie compromis pour déguiser des liens malveillants via des services d’emballage de liens légitimes. Des services comme ceux de Proofpoint ou Intermedia réécrivent des liens entrants vers des domaines dignes de confiance et les scannent automatiquement, un mécanisme de protection qui, dans ce cas, devient une passerelle.
Les liens semblent trompeusement authentiques
Les attaquants raccourcissent leurs liens à l’aide de raccourcisseurs d’URL et les envoient via des comptes piratés. Les solutions de sécurité fournissent les liens avec un domaine «sécurisé», ce qui les fait paraître légitimes. Mais derrière les URL, se cachent des pages de phishing qui imitent trompeusement les pages de connexion Microsoft 365. Les lignes d’objet telles que «nouveau message vocal», «document sécurisé pour la récupération» ou «nouveau message dans les équipes Microsoft» sont conçus pour attirer les utilisateurs sans méfiance. Certains e-mails représentent même les messages «zix» chiffrés, un système bien connu pour une communication sécurisée.
Cliquer sur des boutons apparemment inoffensifs comme la «réponse» conduit directement à de fausses pages de connexion conçues pour voler des informations d’identification. Selon CloudFlare, les attaquants utilisent la fiabilité des liens réécrits pour contourner les filtres de sécurité. Ces méthodes ne sont pas nouvelles. Des services comme Google Drive ont déjà été abusés de la même manière, mais l’exploitation ciblée de l’emballage des liens est un nouveau chapitre du livre de jeu de phishing.
Cloudflare écrit à ce sujet dans son rapport:
Les entreprises doivent repenser la sécurité
Il s’agit d’un réveil pour les utilisateurs et les organisations: la détection automatique des liens malveillants ne suffit plus. Les administrateurs informatiques devraient mettre à jour des pare-feu et des filtres par e-mail, intensifier la formation des employés et nécessiter une authentification multi-facteurs pour les comptes Microsoft 365. Ces attaques mettent en évidence la facilité avec laquelle les cybercriminels peuvent transformer les outils de protection en vulnérabilités.
