Les attaques de phishing ont augmenté de façon exponentielle ces dernières années. Selon des études récentes, les tentatives de phishing, par exemple par courrier électronique, représentaient près de la moitié de tous les e-mails envoyés en 2021.

De ce point de vue, le terme «Hameçonnage» est devenu extrêmement populaire. Il n’y a pas un jour où nous n’apprenons pas une tentative d’hameçonnage d’entreprises ou de citoyens anonymes au moyen de mécanismes de plus en plus imaginatifs.

Phishing et ingénierie sociale

Dans les attaques de phishing, le usurpation d’identité et ingénierie sociale ils jouent un rôle fondamental. Ce n’est pas en vain que les cybercriminels utilisent de fausses identités basées sur le la sensibilité humaine et les besoins des gens ils l’ont fait à chaque instant.

Lorsque le sujet qui nous préoccupait était la déclaration de revenus, les « messages du ministère des Finances » étaient au centre des attaques de phishing ; Lorsque nous nous concentrions sur la pandémie, ce sont les messages liés à la santé, sous tous ses aspects – produits, organisations publiques, sécurité, etc. – qui retenaient l’attention des cybercriminels. Maintenant que la guerre en Ukraine remet en question le manque de fournitures ou la liberté d’expression, il est plus que possible pour les cybercriminels de se faire passer pour des ONG ou même des journalistes.

Techniques de phishing génériques

L’objectif est toujours d’amener la victime à accomplir une action permettant au cybercriminel d’obtenir un certain type d’avantage, que ce soit sous la forme d’une transaction économique, d’un accès à l’information ou du contrôle de systèmes informatiques.

Partant de cette prémisse, L’action de la victime devient l’une des étapes clés lorsqu’une attaque de phishing atteint son objectif. C’est pour cette raison que les stratégies utilisées par les cybercriminels font appel à des techniques de plus en plus imaginatives.

Ci-dessous, nous rassemblons certaines de ces techniques qui ont été et sont utilisées par les criminels dans des attaques de phishing. Il s’agit de Des techniques ingénieuses et méconnuesqui sont parfois spécifiques à des secteurs ou à des groupes de personnes mais partagent un modèle commun dans leur manière d’agir.

Recherches ciblées

La méfiance des utilisateurs à l’égard des liens qui apparaissent dans les e-mails a poussé les cybercriminels à recourir à des mécanismes alternatifs pour gagner la confiance de leurs victimes.

Des techniques de phishing utilisant les recommandations de recherche Google destinées aux utilisateurs ont été détectées. des sites Web délibérément préparés qui ont déjà obtenu des notes d’adéquation élevées à l’aide de techniques de positionnement SEO.

Les cybercriminels passent une partie de leur temps faire en sorte que, pour certains termes, les sites Web qui servent d’appât apparaissent en haut des recherches, par exemple, de Google. De cette façon, lorsqu’ils feront plus tard une recommandation à leurs victimes sur un certain concept ou terme, elles seront dirigées vers la destination spécialement préparée pour servir de leurre.

Informations cryptées exclusives pour le destinataire

La méfiance envers une victime se combat justement par le souci de confiance.

Des techniques de phishing utilisant les recommandations de recherche Google ont été détectées.

À partir de là, les cybercriminels tentent de convaincre leurs victimes en leur donnant accès à des ressources apparemment cryptées et personnalisées pour elles. Les destinataires perçoivent ainsi un faux sentiment de sécurité. Le cybercriminel les invite à utiliser des informations confidentielles, telles que le nom d’utilisateur et le mot de passe, comme mécanisme de décryptage. La confusion entre des concepts tels que « clés de cryptage » et « clés d’accès à l’information » joue un rôle fondamental dans le succès de ce type de techniques.

La chose habituelle à propos de ces attaques est que, Grâce à un email, le criminel convainc par exemple sa victime qu’un fichier contient des informations confidentielles cryptées et que lui seul pouvait décrypter en saisissant son nom d’utilisateur et son mot de passe ; quelque chose de totalement impossible à réaliser et que peut être confondu avec la gestion de la cryptographie à clé publique-privée.

MFA pour des utilisations indéfinies

Le recours à des mécanismes de double authentification est de plus en plus répandu. Le secteur financier, par exemple, dans le respect de la réglementation européenne PSD2, l’utilise régulièrement. Mais il n’est pas le seul. De plus en plus, les comptes de messagerie, l’accès aux applications commerciales ou encore aux réseaux sociaux mettent en œuvre des mécanismes de double authentification qui réduisent les risques auquel le vol de mot de passe peut conduire.

Pour cette raison, les cybercriminels ont recours à Techniques MiTM par lequel ils font croire aux victimes qu’un événement s’est produit pour lequel ils recevront un code d’authentification qu’elles devront fournir.

La réalité est cela dit le code ne correspond pas à l’opération que la victime croit exécutermais il sert plutôt au cybercriminel à accéder à un service sans que la victime en soit consciente.

Les exemples d’utilisation de ce type de techniques sont multiples. L’un des plus évidents est un message indiquant qu’un compte de messagerie ou un compte bancaire a été bloqué. Ensuite, il est demandé à la victime de fournir le code de vérification qui sera envoyé comme preuve d’identité pour le déverrouillage. Immédiatement après, la victime recevra un code de vérification, envoyé par le service réel auquel le cybercriminel souhaite accéder, et que, si nécessaire, l’utilisateur fournira au criminel. Le résultat final est connu de tous.

Microsoft, moyens et forme

Une autre technique utilisée par les cybercriminels s’appuie sur les outils Microsoft pour confondre les victimes.

L’exemple le plus représentatif réside peut-être dans la façon dont les cybercriminels invitent téléchargez un fichier OneDrive à votre victime tout en lui présentant un formulaire créé sur mesure à partir des outils Microsoft.

Le fait que Les domaines Internet qui apparaissent dans le formulaire sont les mêmes que ceux fournis par Microsoft, qui fait office de « garantie de sécurité » pour la victime.. L’objectif est que la victime ne détecte pas qu’elle n’accède pas réellement à un service de stockage cloud, mais qu’elle remplit un formulaire qui sera immédiatement envoyé au cybercriminel pour exploitation.

Et nous pourrions continuer…

Il est certain que nous pourrions étendre la liste des techniques d’attaque par phishing autant que nous le souhaitions ; mais ils auront tous un dénominateur commun : l’ingénierie sociale jouera un rôle prédominant au cours du processus. En fait, c’est un élément clé. Un élément qui ne peut être combattu que par une sensibilisation continue des utilisateurs eux-mêmes.

Et, maintenant que le Techniques d’intelligence artificielle ou blockchain ont acquis une plus grande importance, le champ d’action des cybercriminels est susceptible de croître à un rythme exponentiel. Notions liées à «contrefaçons profondes » ou la « phishing sur glace» apparaîtront de plus en plus dans les médias spécialisés, révélant de nouveaux modèles d’attaques de phishing.

La conclusion face à cette réalité semble donc évidente : il faut rester constamment en alerte face à cette réalité. Il serait illusoire de penser qu’avec ces ressources, les cybercriminels ne seront pas en mesure de définir de nouvelles techniques, si possible plus imaginatives, avec lesquelles ils tenteront de continuer à nous tromper.

Par Juanjo Galán, stratégie commerciale chez All4Sec

A lire également