À mesure que de plus en plus de sites web, et donc d'internautes, optent pour l'authentification à deux facteurs (2FA), de plus en plus de sites web d'hameçonnage (phishing, en VO) utilisent des kits permettant d'automatiser la récolte des informations d'identification et des cookies de session. Plus de 1200 ont été identifiés l'an passé.
Un groupe de chercheurs de l'Université Stony Brook et de Palo Alto Networks a identifié, entre mars 2020 et mars 2021, 1 220 sites Web de phishing utilisant des kits d'attaques de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM) afin de capturer les codes de sécurité d'authentification à deux facteurs (2FA, en anglais) reçus par e-mail, SMS ou application dédiée.
Agissant à la manière de serveurs proxy inverse (reverse proxy, en VO), qui relayent le trafic entre la victime, le site de phishing et le service légitime, ils affichent en effet le contenu des services en ligne qu'ils usurpent, tout en automatisant la récolte des informations d'identification et des cookies de session en transit.
Ironiquement, souligne The Record, bon nombre de ces boîtes à outils de phishing MitM sont basées sur des outils développés par des chercheurs en sécurité, tels que Evilginx, Muraena et Modlishka. Les chercheurs, en l'espèce, ont analysé 13 version de ce genre de kits.
The Record relève également que ce chiffre représenterait « un bond significatif par rapport aux quelque 200 sites de phishing exécutant des proxys inversés qui étaient actifs fin 2018 et début 2019 » :
« Une raison pour laquelle ils l'ont fait peut également être liée au fait que la plupart sont téléchargeables gratuitement, faciles à exécuter, et qu'il existe de nombreux tutoriels et demandes de collaboration sur les forums de piratage qui ont aidé les acteurs de la menace à se familiariser avec cette nouvelle technologie. »
Un angle mort dans les listes de blocage de phishing
Pour étudier les effets réels des attaques de phishing MITM et comparer les performances de leur infrastructure de détection à une solution de détection de phishing commerciale, les chercheurs se sont associés à Palo Alto Networks (PAN) :
« 57,6 % des domaines de phishing MITM découverts par notre infrastructure ont été étiquetés comme étant explicitement malveillants ou hautement susceptibles d'être malveillants par les scanners PAN. De plus, parmi les domaines répertoriés comme tels, 15,1 % ont reçu leur étiquette respective au moins une semaine après que notre infrastructure l'ait découverte. »
PAN leur a également fourni des statistiques sur le nombre de ses clients qui avaient visité chaque site Web de phishing MITM. Sur une période de 6 mois, ils ont capturé 6 403 demandes dirigées vers 260 des 1220 sites Web identifiés, enregistrées à partir de 368 pare-feu distincts :
« En moyenne, chaque site Web d'hameçonnage MITM a reçu 25 demandes (telles qu'enregistrées par le middleware de PAN), le site le plus populaire recevant 4 728 demandes de leurs clients. »
Les chercheurs à l'origine de cette étude estiment que ces kits d'outils de phishing MITM « occupent un angle mort dans les listes de blocage de phishing, avec seulement 43,7 % des domaines et 18,9 % des adresses IP associés présents sur les listes de blocage » répertoriées par VirusTotal, laissant les utilisateurs sans méfiance vulnérables à ces attaques.
De plus, il fallait en moyenne sept jours après que leurs robots d'exploration découvrent un site Web de phishing MITM pour que ces URL soient étiquetées comme telles par les listes de blocage de domaine :
« C'est nettement plus long que les campagnes de phishing traditionnelles, dont des travaux antérieurs ont montré qu'elles sont détectées par des listes de blocage après seulement neuf heures. »
En outre, seulement 18,9 % des adresses IP associées aux kits d'outils de phishing MITM apparaissaient sur au moins une liste de blocage IP signalée par VirusTotal. Cela suggèrerait que les attaquants utilisent de nouvelles adresses IP et de nouveaux domaines pour lancer des attaques et se déplacer rapidement avant qu'ils ne soient découverts.
Les trois marques les plus ciblées : Instagram, Google, Facebook
La plupart de ces sites étaient situés en Amérique du Nord et en Europe, qui accueillent une forte concentration d'hébergeurs populaires. Ce qui permet aux attaquants de lancer et supprimer rapidement leurs sites malveillants.
En outre, ces boîtes à outils cherchant à usurper l'identité de sites Web réels, leur localisation sur une infrastructure d'hébergement Web populaire pourrait déjouer les scanners de sécurité qui recherchent des sites Web hébergés dans des systèmes autonomes de mauvaise qualité.
Plus de 40 % des sites analysés restent en ligne pendant plus d'un jour, et environ 15 % plus de 20 jours. 339 (27 %) des domaines associés étaient co-localisés sur la même adresse IP qu'un domaine bénin, et 23 domaines avec au moins un autre domaine étiqueté comme malveillant par les listes de blocage de domaines signalées par VirusTotal :
« Cela indique que les attaquants acquièrent généralement une infrastructure dédiée, ou réutilisent une infrastructure malveillante existante, pour leurs campagnes plutôt que de compromettre des domaines existants. »
Les chercheurs ont découvert 19 marques ciblées, et qu'un sous-ensemble de marques est ciblé « de manière disproportionnée » : les trois marques les plus ciblées (Instagram, Google, Facebook) représentent en effet 61 % de l'ensemble des sites Web de MITM phishing.
Les noms de domaine associés se répartissent en trois catégories : le combosquatting (par exemple, paypalhelp.com), l'intégration de la marque en sous-nom de domaine (par exemple, login.paypal.com.attacker.com) et le typosquatting (par exemple, paypl.com).
Un outil, PHOCA, pour analyser et détecter le phishing MITM
Les chercheurs expliquent s'être concentrés sur deux catégories de fonctionnalités au niveau du réseau pour distinguer les kits d'outils de phishing MITM des serveurs Web bénins : les fonctionnalités de synchronisation du réseau et les empreintes digitales des certificats TLS.
Ils ont ensuite développé un outil pour collecter automatiquement des données et classer les kits d'outils de phishing MITM sur le Web. Les phoques étant des mammifères aquatiques connus pour chasser des proies cachées en utilisant les vibrations générées par leur respiration, ils l'ont appelé PHOCA :
« De la même manière que cette technique de chasse, PHOCA peut détecter des boîtes à outils de phishing MITM précédemment cachées en utilisant des fonctionnalités inhérentes à leur nature, par opposition aux indices visuels. »
Il suffit de lui fournir une URL ou un nom de domaine : PHOCA sonde le serveur Web pour déterminer s'il s'agit d'une boîte à outils de phishing MITM. À l'aide de cet outil, de nouvelles données d'entraînement peuvent être facilement générées pour toute future itération de la boîte à outils de phishing MITM.
Les résultats de leur analyse montrent que « notre système de détection est résilient aux mécanismes de dissimulation incorporés par ces outils et est capable de détecter le contenu de phishing précédemment caché » :
« Enfin, nous proposons des méthodes que les services en ligne peuvent utiliser pour identifier les requêtes provenant de ces boîtes à outils et arrêter les tentatives de phishing lorsqu'elles se produisent. »
