Les chercheurs en sécurité mettent en garde contre une activité de phishing accrue qui abuse des pages Google Accelerated Mobile Pages (AMP) pour contourner les mesures de sécurité des e-mails et accéder aux boîtes de réception des employés de l’entreprise.
Google AMP est un framework HTML open source co-développé par Google et 30 partenaires pour accélérer le chargement du contenu Web sur les appareils mobiles.
Les pages AMP sont hébergées sur les serveurs de Google, où le contenu est simplifié et certains des éléments multimédias les plus lourds sont préchargés pour une livraison plus rapide.
L’idée derrière l’utilisation des URL Google AMP intégrées dans les e-mails de phishing est de s’assurer que la technologie de protection des e-mails ne signale pas les messages comme malveillants ou suspects en raison de la bonne réputation de Google.
Les URL AMP déclenchent une redirection vers un site de phishing malveillant, et cette étape supplémentaire ajoute également une couche perturbatrice de l’analyse.
Les données de la société de protection anti-phishing Cofense montrent que le volume d’attaques de phishing utilisant AMP a augmenté de manière significative vers la mi-juillet, ce qui suggère que les acteurs de la menace pourraient adopter la méthode.
« Sur toutes les URL Google AMP que nous avons observées, environ 77 % étaient hébergées sur le domaine google.com et 23 % sur le domaine google.co.uk », explique Cofense dans le rapport.
Bien que le chemin « google.com/amp/s/ » soit commun dans tous les cas, le bloquer aurait également un impact sur tous les cas légitimes d’utilisation de Google AMP. Cependant, les signaler peut être l’action la plus appropriée, pour au moins alerter les destinataires afin qu’ils se méfient des redirections potentiellement malveillantes.
Furtivité supplémentaire
Cofense affirme que les acteurs de phishing qui abusent du service Google AMP utilisent également une gamme de techniques supplémentaires qui aident collectivement à échapper à la détection et à augmenter leur taux de réussite.
Par exemple, dans de nombreux cas observés par Cofense, les acteurs de la menace ont utilisé des e-mails HTML basés sur des images au lieu d’un corps de texte traditionnel. Cela confond les analyseurs de texte qui recherchent des termes de phishing courants dans le contenu du message.
Dans un autre exemple, les attaquants ont utilisé une étape de redirection supplémentaire, abusant d’une URL Microsoft.com pour emmener la victime vers un domaine Google AMP et finalement vers le site de phishing réel.
Enfin, les attaquants ont utilisé le service CAPTCHA de Cloudflare pour contrecarrer l’analyse automatisée des pages de phishing par les bots de sécurité, empêchant les robots de les atteindre.
Dans l’ensemble, les acteurs de l’hameçonnage utilisent aujourd’hui de multiples méthodes d’évasion de la détection qui rendent de plus en plus difficile pour les cibles et les outils de sécurité d’attraper les menaces et de les bloquer.