Techno.

Actualités des menaces : utilisation malveillante de reCaptcha

Dans la bataille sans fin entre la cybersécurité et la cybercriminalité, les cybercriminels continuent de trouver de nouvelles techniques pour échapper à la détection. L’un de ces pièges que les chercheurs de Barracuda ont commencé à observer plus souvent dans les campagnes d’hameçonnage utilise les murs reCaptcha pour empêcher les services d’analyse des URL d’accéder au contenu des pages d’hameçonnage.

Cette technique est couramment utilisée par des entreprises légitimes pour dissuader les robots d’extraire le contenu. Comme les utilisateurs finaux ont l’habitude qu’on leur demande de résoudre un reCaptcha pour prouver qu’ils ne sont pas un robot, l’utilisation malveillante d’un vrai mur reCaptcha donne également plus de crédibilité au site d’hameçonnage. Les utilisateurs sont alors plus susceptibles d’être trompés.

Pleins feux sur une menace

Les campagnes d’hameçonnage des références d’identité par messagerie électronique commencent à utiliser les murs reCaptcha pour empêcher les systèmes d’analyse automatisée des URL d’accéder au contenu réel des pages d’hameçonnage. Les murs reCaptcha rendent le site d’hameçonnage également plus crédible aux yeux des utilisateurs.

Alors que certaines campagnes se contentent d’usurper la case reCaptcha et ne contiennent en réalité qu’une case à cocher et un formulaire, l’utilisation de l’API reCaptcha réelle devient de plus en plus courante. Cette approche est incontestablement plus efficace pour dissuader les systèmes d’analyse automatisée, car une fausse case reCaptcha pourrait facilement être contournée par programme, simplement en envoyant le formulaire.

C’est probablement la raison pour laquelle les chercheurs de Barracuda observent moins de fausses cases reCaptcha. Dans les échantillons examinés pour ce rapport, seul un email comportant une fausse case reCaptcha a été détecté, contre plus de 100 000 emails utilisant la véritable API.

Détails

Ces dernières semaines, les chercheurs de Barracuda ont observé de multiples campagnes d’hameçonnage des références d’identité par messagerie électronique utilisant des murs reCaptcha sur les liens des emails d’hameçonnage. Une campagne a ainsi comporté plus de 128 000 emails utilisant cette technique pour falsifier de fausses pages de connexion à Microsoft. Les messages d’hameçonnage utilisés dans cette campagne, comme l’exemple ci-dessous, prétendent que l’utilisateur a reçu un message vocal.

Les messages contiennent une pièce jointe HTML qui renvoie vers une page comportant un mur reCaptcha. La page ne contient rien d’autre que le reCaptcha, mais c’est un format assez courant pour les reCaptcha légitimes également, donc elle n’est pas susceptible d’alerter l’utilisateur.

Une fois que l’utilisateur a résolu le reCaptcha dans cette campagne, il est redirigé vers la page d’hameçonnage réelle, qui usurpe l’apparence d’une page de connexion courante à Microsoft. Il n’est pas certain que l’apparence de la page corresponde au serveur de messagerie légitime de l’utilisateur, mais il est possible qu’avec une simple reconnaissance, l’attaquant puisse trouver ce type d’information pour rendre la page d’hameçonnage encore plus convaincante.

Mode de protection contre cette menace

L’étape la plus importante dans la protection contre les murs reCaptcha malveillants est d’informer les utilisateurs de la menace afin qu’ils se montrent prudents, au lieu de partir du principe qu’un reCaptcha est un signe qu’une page est sûre. Les utilisateurs doivent faire preuve de vigilance lorsqu’ils voient des murs reCaptcha, en particulier à des endroits inattendus où il n’y a jamais eu de murs légitimes par le passé.

Comme pour tout hameçonnage basé sur le courrier électronique, la vérification des expéditeurs, des URL et des pièces jointes aidera les utilisateurs à repérer cette attaque avant qu’ils n’atteignent le reCaptcha. Ainsi, la protection contre ce type d’attaque passera également par une formation de sensibilisation à la sécurité pour les utilisateurs, en leur fournissant une base solide sur la façon de reconnaître les attaques d’hameçonnage et de les signaler.

Bien que ce piège avec le reCaptcha complique l’analyse automatisée des URL, l’email constitue lui-même une attaque d’hameçonnage et peut être détecté par des solutions de protection de la messagerie électronique. Au final, toutefois, aucune solution de sécurité ne pourra absolument tout détecter. La capacité des utilisateurs à repérer des emails et des sites web malveillants est donc essentielle.

À propos de Barracuda Networks

Rendre le monde plus sûr est notre objectif chez Barracuda. Nous pensons que chaque entreprise doit se doter de solutions cloud, faciles à acquérir, à déployer et à utiliser, tout en gardant leur niveau de sécurité. Nous protégeons les e-mails, les réseaux, les données et les applications avec des solutions innovantes et évolutives, qui s’adaptent à la croissance de nos clients. Plus de 220 000 entreprises à travers le monde font confiance à Barracuda pour les protéger – elles restent sereines face aux risques qui sont toujours là – et peuvent se concentrer sur le développement de leur business. Pour plus d’informations, visitez le site barracuda.com

Barracuda est l’un des membres fondateurs de l’Association de sécurité intelligente de Microsoft, qui aide à promouvoir les services de sécurité de Microsoft auprès des fournisseurs et des utilisateurs finaux.

Barracuda Networks, Barracuda et le logo Barracuda Networks sont des marques déposées ou des marques commerciales de Barracuda Networks, Inc. aux États-Unis et dans d’autres pays.



Booking.com

Tags

Laisser un commentaire

Articles similaires

Bouton retour en haut de la page
Fermer