Les acteurs du phishing utilisent une nouvelle tactique d’évasion appelée « Phishing validé avec précision » qui n’affiche de faux formulaires de connexion que lorsqu’un utilisateur saisit une adresse e-mail que les acteurs de la menace ont spécifiquement ciblée.
Contrairement au phishing de ciblage de masse traditionnel, cette nouvelle méthode utilise la validation des e-mails en temps réel pour garantir que le contenu de phishing n’est affiché qu’aux cibles pré-vérifiées et de grande valeur.
Bien qu’elle ne soit ni trop avancée ni particulièrement sophistiquée, la nouvelle tactique exclut toutes les cibles non valides du processus d’hameçonnage, bloquant ainsi leur visibilité sur l’opération.
La société de sécurité de messagerie Cofense, qui a documenté l’augmentation de l’adoption de cette nouvelle tactique, a noté que cela leur avait créé un problème pratique important.
Lors de la recherche de sites d’hameçonnage, il est courant que les chercheurs saisissent de fausses adresses e-mail ou celles sous leur contrôle pour cartographier la campagne de vol d’informations d’identification.
Cependant, avec cette nouvelle technique, les adresses e-mail invalides ou de test saisies par les chercheurs affichent désormais une erreur ou les redirigent vers des sites bénins. Cela a un impact sur les robots de sécurité automatisés et les bacs à sable utilisés dans la recherche, réduisant les taux de détection et prolongeant la durée de vie des opérations de phishing.
« Les équipes de cybersécurité s’appuient traditionnellement sur une analyse de phishing contrôlée en soumettant de fausses informations d’identification pour observer le comportement et l’infrastructure des attaquants », explique Cofense.
« Avec le phishing validé avec précision, ces tactiques deviennent inefficaces car tout e-mail non reconnu est rejeté avant que le contenu de phishing ne soit livré. »
Selon Offense, les acteurs de la menace utilisent deux techniques principales pour obtenir une validation des e-mails en temps réel.
La première consiste à abuser des services tiers de vérification des e-mails intégrés au kit de phishing, qui vérifie la validité de l’adresse de la victime en temps réel via des appels API.
La deuxième méthode consiste à déployer du JavaScript personnalisé dans la page de phishing, qui envoie un ping au serveur de l’attaquant avec l’adresse e-mail que les victimes tapent sur la page de phishing pour confirmer si elle figure sur la liste pré-récoltée.
S’il n’y a pas de correspondance, la victime est redirigée vers un site inoffensif, comme Wikipedia.
Cofense explique que contourner cela en saisissant simplement l’adresse e-mail de la personne qui lui a signalé la tentative de phishing est souvent impossible en raison des restrictions d’utilisation imposées par leurs clients.
Même s’ils étaient autorisés à utiliser l’adresse réelle de la cible, les analystes commentent que certaines campagnes vont plus loin, envoyant un code de validation ou un lien vers la boîte de réception de la victime après avoir entré un e-mail valide sur la page de phishing.
Pour poursuivre le processus d’hameçonnage, les victimes doivent entrer le code qu’elles ont reçu dans leur boîte de réception, ce qui est au-delà de l’accès des analystes de sécurité.
Les conséquences de cela sont graves pour les outils de sécurité de la messagerie, en particulier ceux qui reposent sur des méthodes de détection traditionnelles, sont graves, car ils sont plus susceptibles de ne pas alerter les cibles des tentatives de phishing.
Alors que les campagnes de phishing adoptent une validation dynamique des entrées, les défenseurs doivent adopter de nouvelles stratégies de détection qui mettent l’accent sur l’empreinte comportementale et la corrélation des renseignements sur les menaces en temps réel pour garder une longueur d’avance sur les acteurs de la menace.