Les chercheurs en cybersécurité d’Akamai ont repéré une nouvelle campagne de phishing qui cible les consommateurs aux États-Unis avec de fausses offres de vacances. L’objectif de la campagne est de voler des informations d’identification sensibles comme les informations de carte de crédit, et finalement leur argent.
Les acteurs de la menace créent des pages de destination qui se font passer pour certaines des plus grandes marques aux États-Unis, notamment Dick’s, Tumi, Delta Airlines, Sam’s Club, Costco et d’autres.
La page de destination, souvent hébergée sur des services cloud réputés comme Google ou Azure, invite les utilisateurs à répondre à un court sondage, après quoi on leur promet un prix. L’enquête serait également limitée dans le temps à cinq minutes, utilisant l’urgence pour détourner l’attention des gens des signaux d’alarme potentiels.
URL de phishing uniques
Après avoir répondu à l’enquête, les victimes seraient déclarées « gagnantes ». La seule chose qu’ils auraient maintenant à faire, pour recevoir leur prix, serait de payer les frais d’expédition. C’est là qu’ils donneraient leurs informations de paiement sensibles, pour être ensuite utilisées par les attaquants de différentes manières.
Cependant, ce qui rend cette campagne unique, c’est son système basé sur des jetons qui lui permet de voler sous le radar et de ne pas être capté par les solutions de cybersécurité.
Comme l’expliquent les chercheurs, le système aide à rediriger chaque victime vers une URL de page de phishing unique. Les URL diffèrent en fonction de l’emplacement de la victime, car les escrocs cherchent à se faire passer pour des marques disponibles localement.
Expliquant le fonctionnement du système, les chercheurs ont déclaré que chaque e-mail de phishing contient un lien vers la page de destination, accompagné d’une ancre (#). C’est généralement ainsi que les visiteurs sont dirigés vers des parties spécifiques d’une page de destination. Dans ce scénario, la balise est un jeton, utilisé par JavaSCript sur la page de destination, qui reconstruit l’URL.
« Les valeurs situées après l’ancre HTML ne seront pas considérées comme des paramètres HTTP et ne seront pas envoyées au serveur, mais cette valeur sera accessible par le code JavaScript exécuté sur le navigateur de la victime », ont déclaré les chercheurs. « Dans le contexte d’une escroquerie par hameçonnage, la valeur placée après l’ancre HTML peut être ignorée ou négligée lorsqu’elle est analysée par des produits de sécurité qui vérifient si elle est malveillante ou non. »
« Cette valeur sera également manquée si elle est visualisée par un outil d’inspection du trafic. »
Les solutions de cybersécurité ignorent ce jeton, aidant les acteurs de la menace à garder un profil bas. D’autre part, les chercheurs, analystes et autres visiteurs indésirables sont tenus à l’écart, car sans le jeton approprié, le site ne se chargera pas.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)