Du « phishing » traditionnel au « Reverse Tunnel Phishing » !

Lors d’une attaque « Reverse Tunnel Phishing », ils s’appuient simplement sur des services et des technologies préexistantes.

Partager sur:
Sauvegarder cet article
Aimer cet article 4

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Du « phishing » traditionnel au « Reverse Tunnel Phishing » !

Publié le 17 septembre 2022
- A +

La méthode du Reverse Tunnel Phishing a été identifiée par des chercheurs en sécurité de CloudSEK.

Selon ces derniers, ce nouveau type d’escroquerie a été expérimenté dans un premier temps en Inde et a ciblé des banques indiennes, avec pour finalité que les clients transmettent leurs coordonnées bancaires, leur numéro Aadhaar (identité nationale indienne) et d’autres informations sensibles, carte bancaire, etc.

Durant leurs investigations, les chercheurs se sont également aperçus que ce type d’attaques novatrices avait également pris pied aux États-Unis et au Royaume-Uni. Il m’apparaît pour le moins probable que la méthode que je vais exposer le plus clairement possible soit appelée à prendre de l’ampleur, pour, à terme, devenir dominante, et remplacer progressivement les techniques de phishing usuelles contre lesquelles les structures sont de plus en plus armées, et les particuliers de plus en plus informés.

Si j’évoque un essaimage prévisible, la raison en est fort simple : à ce jour, ce type d’attaque atypique menée à grande échelle est quasiment indétectable par les contre-mesures traditionnelles considérées comme les plus efficaces.

 

Comment cela fonctionne-t-il ? 

Lors d’une attaque Reverse Tunnel Phishing les attaquants n’utilisent pas de vulnérabilités au sens propre du terme ; ils s’appuient simplement sur des services et des technologies préexistantes dont ils détournent habilement l’usage à des fins délictueuses. Pour faire le plus simple possible : les escrocs couplent des raccourcis d’URL comme bit.ly, vu.fr etc (qui transforment par exemple l’adresse http://www.grenoble-em.com en https://vu.fr/vMnj ) à des prestataires de Tunneling comme Ngrok, Argo Tunnel de Cloudflare…

Voilà la technique : en utilisant le Tunneling inversé, l’escroc n’a ainsi nul besoin d’hébergement web impliquant une adresse URL fixe. Aussi, une fois la tentative de phishing détectée, elle sera facile à arrêter, le prestataire sera sommé de supprimer le site de l’escroc, et si cela n’est pas possible, au minimum, il pourra être bloqué. Avec les prestataires que j’évoque, le phisher est en mesure de mettre en ligne le site copy-cat du site officiel cible sur ses propres machines et utiliser à l’envi des URL aléatoires. Dès lors qu’une URL tombe sa maitrise est donc totale… Autrement formulé, l’escroc va utiliser un service en ligne comme Argo Tunnel de façon à acheminer le trafic internet entrant vers son ordinateur local ou son réseau d’ordinateurs locaux. Il pourra ainsi changer les URL quand nécessaire.

Ndla : le tunneling inversé n’est pas un service illégal. Dans un usage non dévoyé il est même extrêmement utile. Par exemple, il peut permettre aux usagers d’accéder à leur ordinateur personnel lors de leur déplacement, tout comme il peut fonctionner comme un testeur et permettre de développer des applications ou des sites web, de les tester avant leur mise en ligne sur internet.

A contrario, lorsqu’il est couplé à l’utilisation de raccourcisseurs d’URL, le tunneling inversé permet aux escrocs de contourner les pièges usuels qui arrêtent les campagnes de phishing. Cela les rend à ce jour difficilement détectables par les services d’analyse d’URL de type incompass.netstar-inc.com des structures qui permettent de lutter contre le phishing… Elles vont devoir intégrer rapidement dans leur prestation des moyens pour lutter contre cette nouvelle approche, tout comme les prestataires proposant des formations à la cybersécurité proposent aux entreprises des simulations d’attaques de phishing afin de former leurs salariés.

De mon point de vue, le phénomène est indéniablement appelé à prendre de l’ampleur. Il s’écoulera certainement quelques mois avant qu’il ne puisse être combattu efficacement et laisse la place à un autre coup d’escrocs qui, soyez-en certains, ne sont jamais à court d’idées pour contourner les barrières érigées pour protéger l’usager. Le particulier non salarié n’a pas accès aux formations que j’ai évoquées, et tout le monde n’est pas formé pour comprendre pleinement la rouerie de ce type d’attaques. Toutefois, j’espère que cet article permettra aux lecteurs de redoubler de vigilance, de comprendre que les escrocs ont souvent, pour ne pas dire toujours, un temps d’avance sur ceux qui les combattent.

 

Pour se protéger : cultivez le jardin de vos doutes !

Aussi, et pour conclure, s’il est une seule règle à respecter pour garantir sa sécurité à presque 100 % sur ce type d’escroqueries : du bon sens, toujours du bon sens, encore du bon sens.

En attendant, comme je l’ai déjà suggéré dans un précédent article : que les organisations renoncent définitivement à envoyer des liens à leurs clients et/ou salariés, la seule attitude sécure est de ne jamais cliquer sur un lien qui vous est envoyé par SMS ou courriel. Cultivez le doute !

  1. Faites éventuellement une recherche sur votre moteur de recherche préféré pour voir si une attaque de type phishing est en cours.
  2. Rendez-vous sur le site de l’organisation afin de valider que ce qui est proposé via le SMS ou courriel reçu est bien présent sur le site officiel.

 

« Un bon escroc est un farceur ironique qui se joue de la distraction, de l’impertinence, de la naïveté ou de la nervosité de ses contemporains. » Henri Jeanson

 

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

Le phishing est multiforme : proposition de nouveaux services, offres promotionnelles, alertes anxiogènes invitant l’utilisateur à communiquer de toute urgence des données confidentielles pour continuer à bénéficier de certains services (carte vitale, etc.), faux remboursements d’impôts, arnaques à la livraison de colis demandant à l’usager de débourser des sommes complémentaires pour non-livraison par exemple…

Quel que soit sa typologie, le phishing utilise de façon majoritaire (hormis les actions de reverse engineering) les SMS et/ou... Poursuivre la lecture

Par Oihab Allal-Chérif.

Si certains acteurs, chanteurs, sportifs, ou présentateurs sont considérés comme des valeurs sûres en termes d’influence et attirent de nombreuses marques, même les stars internationales dotées d’une très bonne image peuvent tomber de leur piédestal du jour au lendemain. Les influenceurs – au sens large du terme – sont en effet régulièrement impliqués dans toutes sortes de scandales.

Ce fut le cas de Will Smith après la gifle qu’il a donnée à Chris Rock en direct lors de la Cérémonie des Oscars. Sony, Net... Poursuivre la lecture

Après la présentation, ainsi que des analyses précises et détaillées portant sur les enjeux liés aux techniques et technologies du numérique, objets d’un premier volume, puis la portée économique prodigieuse de ces technologies, étudiées dans un second tome, cette importante somme de connaissances et de réflexions se poursuit à travers ce troisième et ultime volume, consacré aux enjeux sociétaux et aux nombreuses questions que soulève la pratique du numérique.

Réunissant une nouvelle fois les contributions de multiples spécialistes ven... Poursuivre la lecture

Voir plus d'articles