Attaques dynamiques, redirections discrètes, code masqué : le phishing devient un jeu de dupes orchestré à l’échelle mondiale. En interrogeant les DNS pour créer à la volée des fausses pages de login, les hackers redéfinissent les règles du phishing et des moyens de s’en défendre.
Les cybercriminels développent constamment des techniques de plus en plus sophistiquées pour contourner les défenses traditionnelles. Une récente campagne de phishing particulièrement élaborée exploite les enregistrements DNS d’échange de courrier (MX) pour générer dynamiquement de fausses pages de connexion et ainsi dérober des identifiants de connexion des victimes.
Une approche innovante du phishing
Les attaques de phishing classiques s’appuient généralement sur des e-mails frauduleux contenant des liens vers des sites imitant des pages de connexion officielles. Mais cette nouvelle génération d’attaques va plus loin en exploitant les informations du DNS pour cibler précisément chaque victime. Lorsqu’un utilisateur clique sur un lien de phishing, le système malveillant interroge automatiquement l’enregistrement MX du domaine de messagerie de l’entreprise ou de l’organisation concernée. En identifiant ainsi le fournisseur de messagerie utilisé, les attaquants sont capables de générer en temps réel une fausse page de connexion qui reproduit fidèlement l’interface légitime, rendant l’attaque extrêmement convaincante.
Un arsenal de techniques pour tromper les victimes
Cette nouvelle méthode ne se contente pas d’imiter une interface existante, elle intègre également des stratégies sophistiquées pour maximiser son efficacité. Une fois que la victime saisit ses identifiants, ces derniers sont immédiatement collectés et transmis aux attaquants, qui peuvent alors prendre le contrôle du compte en temps réel. Afin d’éviter d’éveiller les soupçons, la victime est ensuite redirigée vers la véritable page de connexion après plusieurs tentatives infructueuses, ce qui lui donne l’impression d’une simple erreur de saisie.
L’attaque est également optimisée pour fonctionner à l’international. Grâce à une traduction automatique des fausses pages, les attaques s’étendent à l’échelle mondiale.
En outre, les attaquants ont recours à des techniques avancées d’évasion : Ils redirigent leur trafic vers des serveurs de publicités (adtech) et obfusquent leur code.
Des conséquences majeures pour les entreprises
L’impact d’une telle attaque ne se limite pas à la compromission d’un compte individuel. Une fois qu’un accès est obtenu, les cybercriminels peuvent infiltrer des réseaux internes, exfiltrer des données sensibles et orchestrer des campagnes d’attaques encore plus vastes. Un compte compromis devient une porte d’entrée pour d’autres attaques, notamment en étant utilisé pour envoyer des e-mails frauduleux à d’autres cibles, amplifiant ainsi l’effet de la campagne malveillante.
Les conséquences peuvent être lourdes, allant de la perte de données critiques à des fraudes financières, sans oublier l’impact sur la réputation d’une entreprise dont les systèmes auraient été compromis. L’exploitation de ces identifiants peut également permettre aux attaquants d’accéder à des services tiers liés au compte initial, élargissant encore le périmètre de l’attaque.
Renforcer la vigilance face à cette menace
Face à ces nouvelles stratégies, une surveillance proactive et une visibilité accrue sont essentielles pour garantir la sécurité des entreprises. Renforcer la sécurité DNS est important pour se prémunir contre ce type de menaces. Cela passe par un contrôle strict des accès, empêchant les utilisateurs de communiquer avec des serveurs DNS malveillants, ainsi que par le blocage des infrastructures publicitaires et de partage de fichiers non indispensables aux activités de l’entreprise.
Les cyberattaques évoluent en permanence et cette nouvelle forme de phishing en est un parfait exemple. En réduisant le nombre de services superflus sur leur réseau, les entreprises diminuent leur surface d’attaque et limitent ainsi les opportunités pour les cybercriminels de diffuser leurs menaces.
____________________________
Par Renée Burton – Vice President of Threat Intelligence – Infoblox
puis