Actus

Le phishing évasif mélange tunnels inversés et services de raccourcissement d’URL

Par hfrance , le 6 juin 2022 , mis à jour le 7 juin 2022 - 10 minutes de lecture
Le phishing évasif mélange tunnels inversés et services de raccourcissement d'URL
Notez l'article

Les chercheurs en sécurité constatent une augmentation de l’utilisation des services de tunnel inversé ainsi que des raccourcisseurs d’URL pour les campagnes de phishing à grande échelle, ce qui rend l’activité malveillante plus difficile à arrêter.

Cette pratique s’écarte de la méthode plus courante d’enregistrement de domaines auprès de fournisseurs d’hébergement, qui sont susceptibles de répondre aux plaintes et de supprimer les sites de phishing.

Avec les tunnels inversés, les pirates peuvent héberger les pages d’hameçonnage localement sur leurs propres ordinateurs et acheminer les connexions via le service externe. À l’aide d’un service de raccourcissement d’URL, ils peuvent générer de nouveaux liens aussi souvent qu’ils le souhaitent pour contourner la détection.

De nombreux liens de phishing sont actualisés en moins de 24 heures, ce qui rend le suivi et la suppression des domaines plus difficiles.

Abus de service

Abus de service

La société de protection contre les risques numériques CloudSEK a observé une augmentation du nombre de campagnes de phishing qui combinent des services de tunnellisation inverse et de raccourcissement d’URL.

Dans un rapport partagé par la société avec BleepingComputer, les chercheurs affirment avoir trouvé plus de 500 sites hébergés et distribués de cette manière.

Les services de tunnel inverse les plus largement abusés que CloudSEK a trouvés dans leurs recherches sont Ngrok, LocalhostRun et Cloudflare’s Argo. Ils ont également constaté que les services de raccourcissement d’URL Bit.ly, is.gd et cutt.ly étaient plus répandus.

Les services de tunnel inversé protègent le site de phishing en gérant toutes les connexions au serveur local sur lequel il est hébergé. De cette façon, toute connexion entrante est résolue par le service de tunnel et transmise à la machine locale.

Les victimes qui interagissent avec ces sites de phishing finissent par stocker leurs données sensibles directement sur l’ordinateur de l’attaquant.

En utilisant des raccourcisseurs d’URL, l’auteur de la menace masque le nom de l’URL, qui est généralement une chaîne de caractères aléatoires, explique CloudSEK. Ainsi, un nom de domaine qui éveillerait les soupçons est caché dans une URL courte.

Selon CloudSEK, les adversaires distribuent ces liens via des canaux de communication populaires tels que WhatsApp, Telegram, des e-mails, des SMS ou de fausses pages de réseaux sociaux.

Il convient de noter que l’utilisation abusive de ces services n’est pas nouvelle. Par exemple, Cyble a présenté des preuves d’abus de Ngrok en février 2021. Cependant, selon les conclusions de CloudSEK, le problème s’aggrave.

Cas détectés

Cas détectés

Un exemple de campagne de phishing abusant de ces services que CloudSEK a détecté était l’usurpation d’identité de YONO, une plate-forme bancaire numérique proposée par la State Bank of India.

L’URL définie par l’attaquant était masquée derrière “cutt[.]ly/UdbpGhs” et menait au domaine “ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi” qui utilisait le service de tunnellisation Argo de Cloudflare.

Cette page de phishing demandait des identifiants de compte bancaire, des numéros de carte PAN, des numéros d’identification uniques Aadhaar et des numéros de téléphone mobile.

CloudSEK n’a pas partagé l’efficacité de cette campagne, mais souligne que les acteurs de la menace utilisent rarement le même nom de domaine pendant plus de 24 heures, bien qu’ils recyclent les modèles de page de phishing.

“Même si une URL est signalée ou bloquée, les acteurs de la menace peuvent facilement héberger une autre page, en utilisant le même modèle” – CloudSEK

Les informations sensibles collectées de cette manière peuvent être vendues sur le dark web ou utilisées par les attaquants pour vider les comptes bancaires. Si les données proviennent d’une entreprise, l’auteur de la menace pourrait les utiliser pour lancer des attaques de rançongiciels ou une fraude par compromission des e-mails professionnels (BEC).

Pour se protéger contre ce type de menace, les utilisateurs doivent éviter de cliquer sur des liens provenant de sources inconnues ou suspectes. Taper manuellement le nom de domaine d’une banque dans le navigateur est une bonne méthode pour éviter d’être exposé à un faux site Web.

Combien de temps durent les liens Bitly ?

Les liens Bitly n’expirent jamais. Si vous utilisez un domaine personnalisé pour raccourcir vos liens, ils continueront de fonctionner tant que votre DNS pointe toujours vers Bitly et que le domaine personnalisé est attaché à un compte Bitly. Bien que vous puissiez masquer les liens et leurs analyses de la vue analytique, les données resteront dans Bitly.

Est-ce que Bitly réutilise les liens ? Non. Chaque lien émis par Bitly est unique et ne sera pas réutilisé. Vous pouvez donc être sûr que le lien redirigera toujours vers la même longue URL sur laquelle il a été enregistré à l’origine.

Combien de temps durent les liens Bitly ?

Que sont les URL courtes et les liens ? Les URL courtes sont des liens qui ont été raccourcis par un service de raccourcissement d’URL comme Bitly et comportent généralement moins de 30 caractères.

Y a-t-il une limite aux clics Bitly ?

Construisez votre marque avec des liens reconnaissables qui augmentent les clics et renforcent la confiance. Inclut : Moitiés arrière personnalisables. Clics illimités.

Est-ce que ça coûte d’utiliser Bitly ?

Est-ce que ça coûte d'utiliser Bitly ?

Tout est gratuit, plus : Domaine personnalisé gratuit* Liens de marque.

Comment rentrez-vous dans Entrepreneur Magazine ? Comment présenter un article invité sur Entrepreneur.com

  • Trouvez une idée. Trouvez un sujet sur lequel vous pouvez écrire en toute confiance, soit parce que vous êtes un expert en la matière, soit parce que vous avez des liens avec des sources fiables qui vous donneront des informations. …
  • Terminez le processus de candidature. …
  • Proposer un éditeur pour une catégorie spécifique (facultatif)

La France est-elle un bon pays pour les entrepreneurs ?

Pays avancé et industrialisé, la France est la troisième économie d’Europe et la sixième du monde en termes de PIB. Son environnement favorable aux affaires, son marché financier sophistiqué et sa main-d’œuvre hautement qualifiée en font un endroit attrayant pour faire des affaires.

À qui appartient le magazine Entrepreneur ?

Diffusion totale (juillet 2020)510 483
Année de fondation1977
CompagnieEntrepreneur Media, Inc.
PaysÉtats-Unis
Située àIrvine, Californie, États-Unis

Qui est le PDG d’Entrepreneur Magazine ?

Ryan Shea est PDG d’Entrepreneur Media Inc., la société mère d’Entrepreneur.com et d’Entrepreneur Magazine.

Pouvez-vous personnaliser une TinyURL ?

Pouvez-vous personnaliser une TinyURL ?

Recherchez et sélectionnez des domaines pour vos liens personnalisés ou utilisez plusieurs domaines pour chacune de vos différentes campagnes. Recherchez, sélectionnez et créez de nouveaux domaines et commencez à créer des liens personnalisés sans jamais ouvrir un nouvel onglet. Gérez le domaine principal et les redirections 404 depuis le tableau de bord TinyURL™.

Combien coûte TinyURL ? Prix ​​TinyURL : utilisation gratuite ; Plan personnel à partir de 9,99 $/mois (facturé annuellement) pour les liens suivis et les domaines de marque.

Pouvez-vous suivre TinyURL ?

Surveillez uniquement les données dont vous avez besoin dans le tableau de bord TinyURL™. Suivez les liens individuellement ou par groupes pour voir comment vos liens raccourcis fonctionnent au fil du temps.

Pourquoi vous ne devriez pas utiliser bit ly ?

“Cela signifie que toute personne qui analyse au hasard des URL bit.ly trouvera des milliers de dossiers OneDrive déverrouillés et pourra modifier des fichiers existants ou télécharger du contenu arbitraire, y compris potentiellement des logiciels malveillants.” Cette façon de diffuser les logiciels malveillants est inquiétante car elle est à la fois rapide et efficace.

Les liens Bitly peuvent-ils être malveillants ? Bitly a détecté du contenu potentiellement malveillant ou inapproprié. Le lien de destination est caché derrière un lien raccourci via un autre service. Le lien peut conduire à une contrefaçon d’un autre site Web.

Les pages Bitly sont-elles sûres ?

Bitly est sûr du tout. Pas besoin de s’inquiéter. Bitly aide à raccourcir votre URL longue et à les suivre combien de fois votre URL raccourcie a été cliqué.

Est-ce que Bitly est bon à utiliser ?

Bitly est un excellent raccourcisseur d’URL pour les grandes entreprises en ligne qui partagent de nombreux liens et souhaitent les marquer et les suivre. C’est également un bon choix pour les petites entreprises qui souhaitent générer des URL courtes et suivre leurs statistiques pour un nombre modeste de campagnes.

Bitly peut-il être un virus ?

Bitly, l’un des trois services de raccourcissement d’URL les plus populaires, est imité par les méchants pour inciter les utilisateurs à cliquer et à télécharger de supposés cracks de jeux (et autres). Les fichiers se révèlent malveillants. Les services de raccourcissement d’URL peuvent être le meilleur ami des spécialistes du marketing et des médias sociaux.

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.