Les pirates ont commencé à s'adapter à une utilisation plus large de l'authentification multifacteur
Image de Brandon Vigliarolo
par Brandon Vigliarolo dans Sécurité
le 8 février 2022 à 10 h 28 HNP
Les chercheurs de Proofpoint ont découvert que les "kits de phishing" disponibles à l'achat en ligne commencent à s'adapter à la MFA en ajoutant des proxys inverses transparents à leur liste d'outils.
Nous pouvons être rémunérés par les fournisseurs qui apparaissent sur cette page par le biais de méthodes telles que des liens d'affiliation ou des partenariats sponsorisés. Cela peut influencer comment et où leurs produits apparaissent sur notre site, mais les fournisseurs ne peuvent pas payer pour influencer le contenu de nos avis. Pour plus d'informations, visitez notre page Conditions d'utilisation.
Image : Adobe Stock/profit_image
Les chercheurs en sécurité de Proofpoint mettent en garde contre une nouvelle menace qui ne fera que s'aggraver avec le temps : les pirates qui publient des kits de phishing commencent à ajouter des fonctionnalités de contournement de l'authentification multifacteur à leurs logiciels.
Proofpoint a déclaré qu'une étude récente de la société MFA Duo a révélé qu'en 2021, 78% des personnes utilisent ou utilisent MFA, contre seulement 28% en 2017. Cette augmentation rapide a sûrement ébouriffé certaines plumes cybercriminelles au cours des dernières années, mais cela signifie à peine qu'ils sont en baisse pour le décompte. Au contraire, les pirates entreprenants sont motivés par un défi comme celui posé par MFA, et Proofpoint semble avoir la preuve qu'ils ont réussi.
Selon Aimei Wei, fondateur et CTO de Stellar Cyber, la technique de phishing man-in-the-middle qui a évolué pour lutter contre la MFA « est déjà là et se produit. Les consommateurs ainsi que les utilisateurs en entreprise sont déjà ciblés.
L'évolution du phishing par procuration
Traditionnellement, selon Proofpoint dans son rapport, les kits de phishing disponibles à la vente en ligne vont de "simples kits open source avec un code lisible par l'homme et des fonctionnalités sans fioritures à des kits sophistiqués utilisant de nombreuses couches d'obscurcissement et des modules intégrés qui permettent de voler des noms d'utilisateur, mots de passe, jetons MFA, numéros de sécurité sociale et numéros de carte de crédit. » La façon dont ils le font généralement consiste à recréer un site Web cible, comme une page de connexion, dans l'espoir de tromper les utilisateurs inconscients.
Avec MFA dans le mélange, les fausses pages sont rendues inutiles : alors qu'un attaquant peut avoir un nom d'utilisateur et un mot de passe, le deuxième facteur reste hors de portée. Entrez ce que Proofpoint appelle "un nouveau type de kit" qui, au lieu de recréer une page, utilise un proxy inverse transparent pour agir comme un homme du milieu. En interceptant tout le trafic entre une victime et son serveur de destination, ces attaques MitM par proxy transparent permettent à l'utilisateur de continuer sans jamais savoir que ses identifiants, et son cookie de session, ont été volés.
En plus de permettre à un attaquant de détourner des informations d'identification et des codes MFA, Proofpoint a déclaré que cette nouvelle technique donne également aux attaquants plus de résistance. « Les pages Web modernes sont dynamiques et changent fréquemment. Par conséquent, présenter le site réel au lieu d'un fac-similé renforce considérablement l'illusion qu'un individu se connecte en toute sécurité », indique le rapport.
Proofpoint a noté qu'il existe trois kits de phishing qui sont devenus les grands acteurs de la sphère MitM du proxy inverse transparent : Modlishka, Muraena/Necrobrowser et Evilginx2. Tous ont des capacités différentes qui les rendent mieux adaptés à certains objectifs, mais ils ont également une grande caractéristique en commun : ils ont été créés à des fins légitimes, comme les tests d'intrusion.
"Bien que les services en ligne puissent utiliser [n'importe lequel de ces trois outils] pour arrêter les tentatives de phishing au fur et à mesure qu'elles se produisent, avec l'augmentation constante des services en ligne que les entreprises utilisent aujourd'hui, il est difficile de s'assurer que [chaque fournisseur] dispose de cette protection, », a déclaré Wei.
Wei et Proofpoint préviennent que les attaques de phishing par proxy transparent MitM ne feront que croître à mesure que de plus en plus d'entreprises adopteront la MFA. Fondamentalement, c'est une mauvaise idée de s'appuyer sur plusieurs facteurs d'authentification comme seule assurance contre les comptes volés.
Notant que Google a commencé à exiger la MFA pour tous ses utilisateurs, Proofpoint a déclaré qu'à mesure que de plus en plus d'organisations, à la fois des entreprises et des consommateurs, adoptent une technologie similaire, les pirates seront plus motivés à se tourner vers des solutions de logiciels malveillants hébergées, prêtes à l'emploi et bon marché. .
"Ils sont faciles à déployer, gratuits à utiliser et se sont révélés efficaces pour échapper à la détection. L'industrie doit se préparer à faire face à des angles morts comme ceux-ci avant de pouvoir évoluer dans de nouvelles directions inattendues », a déclaré Proofpoint.
REF.: Bulletin d'informations sur la cybersécurité
https://www.techrepublic.com/article/hackers-have-begun-adapting-to-wider-use-of-multi-factor-authentication/