Un certain nombre de gestionnaires de mots de passe de premier plan ont été usurpés dans une nouvelle campagne de phishing, avec Bitwarden parmi les personnes concernées, ont averti les experts.
Un faux très convaincant du vrai site Bitwarden, avec l’url « bitwardenlogin.com », est apparu comme un résultat de recherche Google Ads, le poussant tout en haut lorsque les utilisateurs ont recherché avec l’expression « bitwarden password manager ».
Le domaine sur l’annonce était « appbitwarden.com », qui semble maintenant heureusement avoir disparu des résultats de Google et le site semble maintenant fermé.
Hameçonnage Google Ads
Les utilisateurs ont signalé avoir rencontré l’annonce de phishing plus tôt cette semaine sur Reddit (s’ouvre dans un nouvel onglet) et les forums officiels de Bitwarden (s’ouvre dans un nouvel onglet)exprimant leurs inquiétudes quant à la similitude entre la fausse page et l’URL et la vraie.
Un utilisateur a même noté qu’un certificat Secure Sockets Layer (SSL) était présent sur le faux site Web, ce qui permet une connexion cryptée et est généralement considéré comme le signe d’un site Web sûr et légitime.
Ordinateur qui bipe (s’ouvre dans un nouvel onglet) a essayé de tester la fausse page en saisissant de fausses informations d’identification de compte Bitwarden pour voir ce qui se passerait, et a constaté que « la page de phishing acceptera les informations d’identification et, une fois soumise, redirigera les utilisateurs vers la page de connexion Bitwarden légitime ».
Cependant, le site de phishing a été fermé avant qu’il ne soit incapable de confirmer ce qui se serait passé avec de véritables informations d’identification – en particulier s’il « tenterait de voler des cookies de session soutenus par MFA (jetons d’authentification) comme de nombreuses pages de phishing avancées ».
Il fait référence aux attaques de phishing par adversaire au milieu (AiTM), qui utilisent des proxys pour transmettre l’invite MFA au site Web réel, qui la renvoie au site de phishing, qui la transmet ensuite à l’utilisateur. Le processus est ensuite répété pour la saisie réelle du code MFA, aucune des parties n’étant informée que le processus d’authentification est intercepté par un mauvais acteur.
Le site réel stocke alors un cookie de la session qui contient les informations d’authentification pour cette session. Ce cookie est volé par l’auteur de la menace afin qu’il puisse à nouveau tromper la victime sans avoir à passer par une autre demande MFA.
D’autres gestionnaires de mots de passe se sont également retrouvés récemment pris dans des campagnes de phishing Google Ads. Chercheur en sécurité MalwareHunterÉquipe (s’ouvre dans un nouvel onglet) ont trouvé la même tactique utilisée pour usurper 1Password, un autre choix de gestionnaire très populaire.
Google Ads a été détourné à diverses fins malveillantes en dehors des escroqueries par hameçonnage. Des histoires récentes ont montré qu’il était utilisé comme rampe de lancement pour voler des informations d’identification et violer les réseaux commerciaux via le vol d’identité.
La nouvelle fait suite à une récente série d’attaques de gestionnaires de mots de passe, notamment LastPass, l’un des plus grands gestionnaires de mots de passe, où des coffres-forts d’utilisateurs ont été volés, et les clés utilisées pour les chiffrer n’étaient pas garanties non plus, ce qui signifie que les pirates pourraient potentiellement tout voir. leurs mots de passe.
Les utilisateurs de Norton LifeLock ont également vu leurs coffres-forts de mots de passe compromis lors d’une attaque de bourrage d’informations d’identification, et Passwordstate a également subi une faille de sécurité.
La meilleure façon de protéger vos coffres-forts de mots de passe, en plus de vous méfier des sites Web de phishing, consiste à configurer MFA et à utiliser un mot de passe fort. Étant donné que ce mot de passe devra être enregistré en mémoire, car il ne peut pas être stocké dans le coffre-fort lui-même, il est préférable d’utiliser une chaîne de mots aléatoire dont vous vous souviendrez facilement et qui sera cependant trop longue et sans signification pour être facilement piraté par des pirates.