in ,

Comment les CAPTCHA peuvent masquer les URL de phishing dans les e-mails

Sélectionnez toutes les images de vous être dupé en fournissant vos informations d’identification

Les puzzles CAPTCHA, conçus pour distinguer les personnes du code informatique, sont utilisés pour séparer les personnes de leurs identifiants de connexion.

La société de sécurité Avanan a publié jeudi sa dernière analyse d’une technique de phishing qui s’appuie sur la familiarité de la communauté Internet avec les défis CAPTCHA pour amplifier l’efficacité des tromperies conçues pour capturer des données sensibles.

De nombreuses entreprises utilisent des passerelles de messagerie sécurisées (SEG) pour filtrer les messages afin d’empêcher les éléments malveillants, tels que les exécutables suspects dans les pièces jointes et les liens vers des sites de phishing, d’atteindre les utilisateurs. Avanan, qui vend un service basé sur l’IA qui rivalise avec les SEG traditionnels, n’accorde sans surprise pas beaucoup d’importance à ces passerelles et affirme avoir de nouvelles preuves à l’appui de ses affirmations.

Les puzzles CAPTCHA, tels que le reCAPTCHA de Google, peuvent constituer un obstacle pour ces scanners car les filtres ne peuvent pas résoudre les puzzles. Lorsque vous battez un CAPTCHA, votre navigateur peut être dirigé vers un autre endroit, généralement ce que vous voulez réellement visiter. Si un SEG ne peut pas résoudre l’énigme, il ne peut pas savoir où un utilisateur serait finalement emmené et est incapable de prendre une décision sur le filtrage ou non de l’e-mail. Il pourrait bloquer par défaut tout ce qui implique un CAPTCHA, mais cela pourrait alors être trop pénible pour les utilisateurs.

Fondamentalement, ce qu’Avanan a découvert et partagé l’année dernière , c’est que les malfaiteurs ont déployé des CAPTCHA pour dissimuler le contenu dangereux des analyses automatisées. Si le scanner ne peut pas résoudre le puzzle, il ne peut potentiellement pas faire son travail correctement.

Par exemple, quelqu’un pourrait recevoir un e-mail avec une pièce jointe HTML qui, une fois ouverte, dirige l’utilisateur vers un CAPTCHA, qui, s’il est résolu, l’amène finalement à une page de phishing qui ressemble à l’écran de connexion d’un site légitime, mais qui récolte en fait toutes les informations d’identification saisies. Un scanner automatisé s’arrête devant le puzzle.

En février, les chercheurs d’Avanan ont commencé à voir des escrocs utiliser cette technique en conjonction avec le domaine compromis d’une université comme moyen de capitaliser sur un domaine de confiance.

Selon Jeremy Fuchs, analyste en cybersécurité chez Avanan, les victimes ont reçu du domaine universitaire compromis un e-mail avec un fichier PDF joint prétendant être un document faxé. Le PDF, lorsqu’il est ouvert, présente une URL – et des instructions pour visiter l’URL – qui mène à un formulaire CAPTCHA qui protège l’emplacement d’une page de phishing. Un scanner automatisé devrait extraire l’URL du PDF, le récupérer, puis résoudre le puzzle pour aller plus loin. Il pourrait même simplement faire confiance à l’URL CAPTCHA.

Une fois que la victime humaine a résolu le puzzle, elle se retrouve sur une page qui tente de tromper la marque en saisissant ses coordonnées soi-disant pour la vérification d’identité. Au lieu de cela, leurs informations sont envoyées à des fraudeurs pour qu’ils les exploitent. Le fait qu’un CAPTCHA soit impliqué comme une sorte de contrôle de sécurité peut même convaincre certains internautes qu’il s’agit vraiment d’un site légitime. Les documents joints pourraient également être protégés par un mot de passe, avec le mot de passe dans le message, pour mettre un autre obstacle sur le chemin des scanners ; les fichiers protégés par mot de passe peuvent les déclencher, attention.

“Pour l’utilisateur final, cela ne ressemble pas à du phishing mais plutôt à une nuisance”, a expliqué Fuchs dans une recherche fournie à The Register . “Compte tenu de la fréquence à laquelle l’utilisateur moyen remplit un défi CAPTCHA, ce n’est pas inhabituel. Les documents PDF protégés par mot de passe non plus.”

Pour l’instant, le conseil d’Avanan est de dire aux personnes qui reçoivent ce genre de messages de fournir les renseignements que les systèmes automatisés ne peuvent pas tout à fait gérer.

Cela signifie accorder plus d’attention aux URL associées aux formulaires CAPTCHA, se renseigner pour savoir si les PDF joints auraient dû être protégés par mot de passe et rechercher les signaux d’alerte potentiels tels que les pièces jointes supposées faxées provenant de personnes connues pour travailler à la maison (où le fax les machines sont sans doute aussi rares que les lecteurs de cassettes).

Bonne chance avec ça. 

Qu'est-ce que tu penses?

Un bogue d’analyse de certificat OpenSSL provoque une boucle de déni de service infinie

Êtes-vous un “empathe noir” ? Les scientifiques révèlent un NOUVEAU type de personnalité « le plus dangereux »