Hameçonnage : utilisation de services de tunnel inversé pour éviter les augmentations de détection et d’arrêt

Chercheurs en sécurité à CloudSEK ont remarqué une augmentation de l’utilisation du service de tunnel inverse et des raccourcisseurs d’URL dans les campagnes de phishing. Les cybercriminels utilisent des services tels que bit.ly, Ngrok ou LocalhostRun pour échapper à la détection et « lancer des campagnes de phishing intraçables » selon les chercheurs.

Les campagnes de phishing peuvent usurper l’identité de sites Web et de services légitimes pour voler des données utilisateur telles que des mots de passe ou des numéros de carte de crédit. Ceux-ci peuvent être hébergés sur des domaines enregistrés, des services d’hébergement Web gratuits ou des sites Web piratés ; toutes ces options ont en commun que les retraits sont rapides et faciles, car il suffit généralement de contacter le fournisseur d’hébergement ou le bureau d’enregistrement pour le faire. La plupart des hébergeurs offrent des options de contact direct pour les cas d’abus.

Les hébergeurs sont tenus de coopérer avec les forces de l’ordre et de retirer les domaines et les pages Web qui sont utilisés dans les campagnes de phishing. Les internautes peuvent également signaler des sites Web et des pages de phishing aux hébergeurs.

Les raccourcisseurs d’URL, des services qui pointent une adresse Web vers une autre, ont été utilisés par le passé dans des campagnes de phishing. Ces services sont utilisés à des fins légitimes, telles que la transformation d’adresses Web longues en adresses plus courtes pour mieux mémoriser les adresses.

CloudSEK a remarqué une augmentation de l’utilisation des services de raccourcissement d’URL et des services de tunnel inversé dans les campagnes de phishing.

Les services de tunnel inverse sont souvent utilisés dans les environnements de développement locaux, car ils permettent aux clients d’accéder aux systèmes informatiques locaux sur Internet. Certains internautes utilisent les services de tunnel inverse à d’autres fins, notamment l’hébergement de services cloud personnels.

Les cybercriminels utilisent ces services pour héberger des pages de phishing sur des machines locales. Ces machines locales sont sous leur contrôle, soit directement, soit par le biais de piratages réussis. De nouvelles URL de redirection peuvent être générées à la volée, et il est assez facile de modifier l’adresse IP des machines locales pour réduire le risque d’interruptions d’attaque causées par le blocage de l’adresse IP et des noms de domaine, ou la suppression de pages Web.

La combinaison des services de raccourcissement d’URL et des services de tunnel inverse masque encore plus les attaques. Les liens ne sont souvent actifs que 24 heures avant que les acteurs de la menace ne passent à autre chose ; cela rend difficile le blocage des campagnes qui utilisent ces techniques.

Ordinateur local avec contenu de phishing >> Service de tunnel inverse >> Service de raccourcissement d’URL >> Attaques

Les opérateurs de tunnels de réserve n’ont pas le même niveau de responsabilité que les hébergeurs, selon CloudSEK. La société a analysé plus de 500 sites qui étaient « hébergés et distribués à l’aide de services de tunnel inverse et de raccourcissement d’URL Ngrok, LocalhostRun, Try CloudFlare, Bit.ly, is.gd et cutt.ly.

L’ensemble du processus commence par la création de sites Web et de pages de phishing. Ceux-ci ressemblent à des copies identiques de sites légitimes, souvent des sites bancaires et d’autres sites financiers, mais d’autres types de sites sont également utilisés. Les pirates peuvent les héberger sur leurs propres machines ou sur des appareils piratés.

Une fois que les pages et l’infrastructure de phishing ont été créées et sont en place, les services de tunnel inverse entrent en jeu. Ceux-ci assurent le lien entre les machines locales et Internet. Les services de raccourcissement d’URL sont utilisés pour obscurcir davantage la campagne et rendre la détection encore plus difficile.

Les liens de raccourcissement d’URL sont ensuite distribués dans des campagnes, par exemple, par e-mail, SMS, services de messagerie ou autres moyens. Les victimes qui accèdent à ces liens chargent les pages Web hébergées localement via l’URL du service de tunnellisation inverse.

Les données que les victimes saisissent sur les sites Web de phishing sont ensuite capturées et utilisées directement ou vendues sur le marché noir. Les attaquants peuvent vider des comptes bancaires, utiliser des cartes de crédit pour des achats en ligne, y compris l’enregistrement de nouveaux domaines et l’hébergement, ou vendre des informations en masse sur le dark web.

Les acteurs de la menace actualiseront les liens régulièrement, souvent toutes les 24 heures, pour poursuivre les attaques. Les modèles de phishing sont réutilisés, car ils sont hébergés sur des machines locales et non sur Internet. Tout ce qu’il faut, c’est créer de nouveaux liens aléatoires en utilisant l’un des services répertoriés, ou d’autres, à utiliser dans de nouvelles attaques. Les liens utilisés dans les anciennes attaques entraînent des erreurs introuvables, car les machines locales ne sont plus accessibles par leur intermédiaire.

Alors que les anciennes pages et adresses peuvent être bloquées, par exemple, lorsqu’elles sont signalées aux sociétés de sécurité ou aux autorités, le contenu de phishing ne peut généralement pas être supprimé car il est hébergé sur des machines locales.

Les services de tunnel inverse Cloudflare, Localhost et Ngrok ont ​​en commun de fournir des liens vers des pages Web hébergées sur des machines locales.

Le service Argo Tunnel de Cloudflare est gratuit pour les utilisateurs de Cloudflare. Il exécute un processus sur la machine locale ou un serveur, qui crée des tunnels sortants vers le réseau Cloudflare. Les services de tunnel inverse Localhost et Ngrok offrent une version de base gratuite et des versions étendues payantes. Le plan gratuit de Ngrok, par exemple, prend en charge l’utilisation de domaines aléatoires.

Le service utilise un tunnel inverse sécurisé pour « exposer les serveurs locaux derrière les NAT et les pare-feu à l’Internet public ». Un programme est exécuté sur la machine locale qui établit le lien vers Internet.

Les trois services ont en commun qu’ils sont utilisés par les développeurs Web et les utilisateurs pour connecter des machines locales à Internet. Certains peuvent utiliser des services de tunnel inversé pour accéder à des services cloud personnels depuis n’importe quel endroit dans le monde, d’autres pour héberger des sites Web ou d’autres services.

Atténuation

CloudSek recommande ce qui suit pour atténuer les attaques de phishing qui utilisent les services de tunnel inversé :

• Les organisations doivent sensibiliser leurs clients aux domaines et URL légitimes ; cela s’applique à tous les types de campagnes de phishing, car toutes hébergent les sites Web de phishing sur différents domaines. Bien que ceux-ci puissent ressembler à des domaines authentiques, l’inspection montrera qu’ils ne le sont pas.
• Les analyses en temps réel peuvent aider à identifier les domaines de phishing, en particulier si les analyses ne se limitent pas au nom de domaine.
• Les clients doivent être sensibilisés aux URL malveillantes et à leur utilisation dans les campagnes de phishing.
• Des politiques doivent être mises en œuvre pour « garantir que les fournisseurs de services de tunnel inverse » aident à la suppression des sites de phishing.

La meilleure forme de protection contre les attaques malveillantes est l’éducation. Les internautes doivent éviter de cliquer sur des liens pointant vers des cibles de premier plan telles que des sites Web bancaires ou des portails d’achat en ligne. Ces sites sont accessibles en saisissant manuellement les noms de domaine ou en utilisant des signets sur les appareils.