On ne présente plus le phishing. La technique est en effet utilisée depuis des années dans la plupart des attaques informatiques (dans près de 9 cas sur 10 selon les différentes estimations). Souvent présenté de manière assez simpliste comme un email renvoyant vers une page conçue pour capturer les identifiants des utilisateurs, les kits de phishing sont aujourd’hui assez sophistiqués pour échapper à la détection des outils de sécurité, et paraître légitimes aux yeux des utilisateurs. Voici comment le phishing se renouvelle, et comment grâce à de nouvelles techniques d’évasion et d’ « anti-analyse » les derniers kits de phishing parviennent à échapper aux solutions de détection :
Des pages de phishing toujours plus réalistes
La première innovation des cyberattaquants en matière de phishing, consiste à intégrer dans le processus de leur attaque, une étape de vérification des numéros de carte de paiement avant que la victime procède au paiement. De nombreuses campagnes de phishing liées aux opérations bancaires, aux achats en ligne ou aux mises à niveau de compte demandent aux victimes de fournir des détails de paiement pour effectuer leurs transactions en ligne. Pour la victime, cela passe plutôt pour une étape légitime. Dans de tels cas, les attaquants intègrent une étape de vérification des identifiants de carte bancaire (longueur du numéro de carte) mais celle-ci est limitée à 16 chiffres pour éviter que des détails aléatoires ne soient saisis. Mais dans certains cas, les attaquants vont plus loin en utilisant des services de vérification en ligne pour s'assurer que la victime saisit correctement les informations relatives au paiement. Les renseignements à propos de l'organisme bancaire d’où provient la carte peuvent être vérifiés à l'aide de ses six ou huit premiers chiffres, c’est le numéro d'identification de l'émetteur (IIN). De nombreux services en ligne fournissent des API pour vérifier l'IIN d'une carte.
Les auteurs de phishing sont également aujourd’hui capables de changer la langue du support de phishing selon la géolocalisation de leur victime. La plupart des campagnes de phishing sont conçues dans une seule langue, en fonction des victimes probables de l'attaque. De telles pages ne fonctionnent que dans une région ou un pays particulier selon la langue dans laquelle elles ont été conçues. Tout comme les sites web légitimes qui sont souvent « localisés », il existe quelques campagnes qui, au lieu d'utiliser une seule langue, diffusent du contenu de phishing en fonction de l'emplacement géographique de la victime. Celui-ci étant déterminé après vérification de l'adresse IP de la victime.
De nombreuses techniques d’évasion et d’ « anti-analyse »
o Accès unique à la page de phishing : Dans certains cas, les pages de phishing ne sont accessibles qu'une seule fois et lorsqu’il visite une nouvelle fois la page, l'utilisateur est redirigé vers d'autres sites web. Lorsqu'un client visite des pages de phishing, l'adresse IP de celui-ci est enregistrée dans un fichier dès la première visite. Chaque fois qu'un client visite ces pages de phishing, son adresse IP est vérifiée par rapport à la liste des adresses IP des clients qu'il a visités précédemment. En fonction des résultats de cette vérification, l'accès à la page de phishing est soit accordé, soit un message « Page introuvable » s'affiche, soit le client peut être redirigé vers d'autres sites.
o Vérification du Proxy à l'aide de services en ligne : Récemment, de nombreux kits de phishing comprenaient une liste codée d'adresses IP, d'agents utilisateurs et de noms d'hôtes, tous blacklistés, que les chercheurs en sécurité et les entreprises de sécurité utilisent. Si le client tente de se connecter avec une adresse IP ou un agent utilisateur sur cette liste noire, le contenu de phishing ne sera pas diffusé. Dans certains cas, en plus de la liste des adresses IP codées, l'adresse IP du client est vérifiée à l'aide de certains services en ligne pour déterminer s'il s'agit ou non d'un proxy.
o Création d'un nouveau répertoire de noms aléatoires à chaque visite : Pour rendre plus difficile la détection des campagnes de phishing, certaines campagnes créent systématiquement un nouveau répertoire de noms aléatoires et la page de phishing est hébergée sur ce répertoire aléatoire.
o Création d'un nouveau fichier de noms aléatoires à chaque visite : Quelques kits de phishing créent un nouveau fichier de noms au hasard à chaque visite, ce qui rend difficile l'identification du site comme étant un site de phishing.
o Valeurs aléatoires pour les attributs HTML à chaque visite : Pour rendre une page de phishing difficile à analyser et à détecter, les valeurs de page des attributs HTML sont générées de manière aléatoire à chaque visite.
Les attaques d'hameçonnage sont en hausse depuis quelques années et nous constatons des évolutions et des changements dans les méthodes des attaquants. Alors que les utilisateurs finaux deviennent plus prudents lorsqu'ils cliquent sur des liens suspects ou ouvrent des pièces jointes inconnues, les attaquants ont également élevé leur niveau en faisant évoluer la façon dont le contenu de phishing est diffusé. Ils utilisent de nouvelles tactiques pour que les pages de phishing restent indétectables pendant de longues périodes. Contrairement aux idées reçues, si le phishing continue d’être l’un des premiers vecteurs utilisés dans les cyberattaques, c’est aussi car il se renouvelle en continu pour trouver les parades et échapper aux outils de détection mis en place par les entreprises.