Les cybercriminels changent constamment de tactique pour éviter que leurs attaques ne soient détectées et les chercheurs en sécurité de GreatHorn ont découvert une nouvelle campagne de phishing capable de contourner les défenses d’URL traditionnelles.
Alors que de nombreuses escroqueries par hameçonnage impliquent de modifier les lettres de l’URL d’un site populaire afin d’inciter les utilisateurs à naviguer vers de fausses pages de destination, cette nouvelle campagne modifie les symboles utilisés dans le préfixe qui précède l’URL.
Les URL utilisées dans la campagne sont mal formées et n’utilisent pas les protocoles d’URL normaux tels que http: // ou https: //. Au lieu de cela, ils utilisent http: / dans leur préfixe d’URL. Comme un deux-points et deux barres obliques ont toujours été utilisés dans le format d’URL standard, la plupart des navigateurs ignorent automatiquement ce facteur.
En conséquence, les cybercriminels à l’origine de cette nouvelle campagne sont en mesure de s’assurer que leurs pages de phishing sont capables de contourner de nombreux scanners de courrier électronique et d’atteindre leurs cibles.
Sommaire
Attaques de préfixes mal formées
Selon un nouveau billet de blog de la GreatHorn Threat Intelligence Team, ces attaques de préfixes malformées sont apparues pour la première fois en octobre de l’année dernière et ont pris de l’ampleur jusqu’à la fin de l’année. En fait, entre la première semaine de janvier et début février, le volume d’attaques de phishing par e-mail utilisant des préfixes d’URL mal formés a augmenté de 5 933%.
Bien que ces tentatives d’hameçonnage aient été identifiées dans des organisations de divers secteurs, les organisations des secteurs pharmaceutique, des prêts, de la construction et du câble sont ciblées à un taux plus élevé que d’autres. De plus, les organisations exécutant Office 365 ont été la cible de ces attaques à un taux beaucoup plus élevé que celles exécutant Google Workspace comme environnement de messagerie dans le cloud.
Dans l’une de ces attaques identifiées par GreatHorn, l’e-mail de phishing a conduit à une fausse page de destination qui était presque identique à une page de connexion Microsoft Office. Si un utilisateur sans méfiance tentait de se connecter sur cette page, il fournirait aux attaquants leurs informations d’identification, ce qui leur donnerait accès à leurs listes de contacts par courrier électronique et à d’autres données sensibles trouvées dans leur stockage cloud.
Pour éviter d’être victime d’une attaque de préfixe mal formé, GreatHorn recommande aux organisations de fournir à leurs employés une formation sur la façon de détecter un préfixe d’URL suspect. Dans le même temps, les équipes de sécurité doivent rechercher dans les e-mails de leur organisation tous les messages contenant des URL correspondant à ce modèle de menace et les supprimer.
