Une équipe d’universitaires spécialisés en cybersécurité a trouvé sur internet plus de 1200 toolkits de phishing capables de permettre aux cybercriminels d’intercepter et de contourner les codes de sécurité à authentification à deux facteurs (2FA).
Aussi connu sous le nom de MitM (Man-in-the-Middle) phishing toolkits, ces outils sont devenus extrêmement populaires dans le monde de la cybercriminalité ces dernières années après que les grandes entreprises du monde de la techno aient commencé à faire du 2FA une fonctionnalité de sécurité par défaut pour leurs utilisateurs.
Le résultat direct de la généralisation de ces mesures élémentaires de sécurité a été que les cybercriminels qui parvenaient à tromper un utilisateur en l’incitant à saisir ses informations d’identification sur un site de phishing, se retrouvaient avec des informations d’identification inutiles, car ces dernières ne pouvaient pas contourner la procédure 2FA.
Pour contrer cette procédure de sécurité, depuis au moins 2017, les cybercriminels ont commencé à adopter de nouveaux outils leur permettant de contourner le 2FA en volant les cookies d’authentification de leurs victimes. Les cookies d’authentification sont des fichiers créés à l’intérieur d’un navigateur Web une fois que l’utilisateur s’est connecté à un compte après la fin du processus 2FA.
Dans la plupart des cas, les cybercriminels utilisent des malwares de type «infostealer» afin de voler ces fichiers de cookies d’authentification à partir d’ordinateurs qu’ils ont réussi à infecter au préalable.
Cependant, il existe une autre façon de voler ces fichiers qui ne repose pas sur l’infection d’un ordinateur avec des malwares. Cette méthode consister à voler les cookies d’authentification pendant qu’ils transitent par Internet, depuis le FAI vers l’ordinateur de la victime.
Différences entre Phishing en temps réel et Phishing MitM
Au cours des dernières années, les cybercriminels ont progressivement adapté leurs vieux toolkits de phishing afin de contourner les procédures 2FA, principalement en utilisant deux techniques.
La première technique, un peu à l’ancienne, est le « phishing en temps réel« .
Cette stratégie implique la participation physique en temps réel d’un opérateur malicieux supervisant la victime qui navigue et interagit avec le site de phishing.
Une fois que la victime entre ses informations d’identification sur le site de phishing, l’opérateur malicieux utilise dans le même temps ces informations d’identification pour s’authentifier sur le site réel.
Lorsque le cybercriminel arrive au stade de l’identification 2FA, il déclenche l’envoi du code, qui sera envoyé à la victime, laquelle l’entrera également sur le site de phishing. L’assaillant n’a alors plus qu’à récupérer et entrer le jeton 2FA sur le site réel pour se connecter.
En règle générale, les outils de phishing en temps réel sont utilisés pour pénétrer les comptes bancaires en ligne, où les sessions de connexion utilisateur ne restent pas actives plus de quelques minutes, et où chaque ré-authentification exige souvent un autre code 2FA.
Les assaillants qui utilisent le phishing en temps réel ne prennent pas la peine de collecter des cookies d’authentification – ces derniers ayant une courte durée de vie – et volent immédiatement les fonds des utilisateurs, sans perdre de temps.
Contrairement aux comptes bancaires en ligne ou autres comptes de plateformes financières, des services web moins « sensibles », tels que les comptes e-mail, les comptes de réseaux sociaux ou de jeux vidéos, ont des protocoles de connexion moins sécurisés et créent des cookies d’authentification parfois valables pendant des années.
Une fois obtenus, ces cookies d’identification peuvent fournir aux assaillants un moyen durable et indétectable d’accéder à un compte à l’insu du propriétaire.
C’est là que les toolkits de phishing MitM se sont révélées particulièrement précieux pour les cybercriminels qui ne veulent pas se fatiguer avec ces stratégies d’infection et d’infostealing qui demandent beaucoup de temps et surtout beaucoup d’intervention humaine.
Les cybercriminels plus raffinés utilisent donc de plus en plus des kits de phishing fonctionnant comme proxies inversés. Ceux-ci relaient le trafic internet entre la victime (1), le site de phishing (2) et le site web réel (3).
Les victimes qui s’authentifient sur un site de phishing MitM sont en fait connectés au site réel, mais puisque tout le trafic internet passe par le système de proxy inversé, l’attaquant a également une copie du cookie d’authentification, qu’il peut ensuite utiliser ou revendre sur le darkweb. Sachez d’ailleurs qu’il existe tout un marché pour les cookies d’authentification. Par exemple, le site Genesis est la référence du dark web en matière d’achat-revente d’identité numériques volées.
En bref, le phishing MitM fonctionne à peu près comme le phishing en temps réel, mais sans avoir besoin d’un opérateur humain, puisque tout est automatisé via le proxy inversé.
De façon ironique, bon nombre de ces toolkits de phishing MitM sont basées sur des outils développés par des chercheurs en sécurité, tels que Evilginx, Muraena, et Modlishka.
Les toolkits de phishing MitM sont de plus en plus utilisés
Dans une étude publiée le mois dernier, des universitaires de l’Université de Stony Brook et de la société de sécurité Palo Alto Networks ont analysé 13 versions de ces trois toolkits de phishing MitM et créé des empreintes digitales du trafic Web qui passe par l’un de ces outils.
Ils ont utilisé leurs résultats pour développer un outil appelé PHOCA, lequel serait capable de détecter si un site de phishing utilise un proxy inversé, preuve que l’acteur malicieux essaye de contourner le 2FA et de collecter des cookies d’authentification plutôt que les seules informations d’identification.
Ces chercheurs ont alimenté PHOCA avec des URL signalées comme sites de phishing entre mars 2020 et mars 2021 et ont constaté que 1220 de ces sites utilisaient des toolkits de phishing MitM.
Il s’agit ici d’une augmentation significative par rapport aux 200 sites de phishing qui utilisaient cette technologie en 2018-2019.
Cette augmentation montre que ces outils sont de plus en plus populaires dans le monde du cybercrime.
Cette augmentation s’explique également par le fait que la plupart de ces outils sont téléchargeables gratuitement, sont faciles à exécuter, et qu’il existe de nombreux tutoriels sur les forums de hacking, ce qui a évidemment aidé beaucoup d’acteurs à se familiariser avec cette nouvelle technologie.
Avec la généralisation de l’authentification 2FA sur internet, il y a fort à parier que l’utilisation du phishing MitM va progressivement devenir un standard chez les acteurs malicieux.
Pour ceux que cela interesse, les chercheurs de Stony Brook University et de Palo Alto Networks ont présenté leurs résultats le mois dernier lors de la conférence ACM CCS 2021.
