Les attaques contre les navigateurs par des acteurs de phishing ont explosé au cours du second semestre 2023, augmentant de 198 % au cours des six premiers mois de l'année, selon un rapport d'une société de sécurité des navigateurs.
De plus, les phishers utilisent de plus en plus de tactiques trompeuses dans leurs attaques, qui s'avèrent très efficaces contre les contrôles de sécurité conçus pour protéger les organisations contre les cyberattaques, note le rapport de Menlo Security.
Les attaques classées comme « évasives » ont augmenté de 206 % au cours de la période et représentent désormais 30 % de toutes les attaques de phishing basées sur un navigateur, explique le rapport, basé sur les données sur les menaces et la télémétrie du navigateur de Menlo Security Cloud, y compris 400 milliards de sessions Web de Décembre 2022 à décembre 2023.
« Les attaques de phishing deviennent de plus en plus sophistiquées avec le recours au masquage, à l'usurpation d'identité, à l'obscurcissement et à la génération de code dynamique », a déclaré Neko Papez, directeur principal de la stratégie de cybersécurité de Menlo.
“Les techniques évasives rendent difficile la détection des pages évasives par les outils de détection de phishing traditionnels qui s'appuient sur des techniques d'extraction de caractéristiques basées sur des signatures ou classiques”, a-t-il déclaré à TechNewsWorld.
Papez a expliqué que le phishing traditionnel utilise une simple demande ou un message de notification qui joue généralement sur une émotion humaine comme la peur et sera souvent utilisé dans des campagnes de phishing de masse.
« Les attaques de phishing évasives sont utilisées dans le cadre d'une approche plus ciblée dans laquelle les pirates utilisent une série de techniques destinées à échapper aux contrôles de sécurité traditionnels et à exploiter les vulnérabilités des navigateurs pour augmenter la probabilité d'accéder aux systèmes des utilisateurs ou aux réseaux d'entreprise », a-t-il déclaré.
Attaque simple et efficace
Roger Neal, responsable produit chez Apona Security, une société de sécurité des applications basée à Roseville, en Californie, a reconnu que les attaques de phishing basées sur les navigateurs sont en augmentation, tout comme le typosquatting de dépendances, où des acteurs malveillants enregistrent des noms de packages faux ou typosquattés qui sont similaire aux packages légitimes utilisés dans le développement de logiciels.
“Ces types d'attaques sont de plus en plus courants car ils sont plus faciles à exécuter que de trouver un composant ou un point d'injection obsolète”, a-t-il déclaré à TechNewsWorld. “Les attaquants n'ont qu'à installer le piège et attendre qu'un utilisateur commette une erreur.”
« Les navigateurs sont attrayants pour les attaques de phishing car ces attaques sont simples et efficaces », a-t-il ajouté. « Souvent, les utilisateurs n'y réfléchissent pas à deux fois lorsqu'ils voient un écran de connexion, car c'est un phénomène courant lors de la navigation sur le Web. Ce type d’attaque a un taux de réussite élevé avec un minimum d’effort, ce qui le rend privilégié par les acteurs malveillants.
De nombreuses cyberattaques commencent par une forme de leurre de phishing visant à voler des informations d'identification, à accéder aux applications de l'entreprise et à forcer le piratage d'un compte, explique le rapport de Menlo.
Le phishing est le vecteur d'attaque initial le plus courant car il fonctionne, poursuit-il, avec 16 % des violations de données mondiales commençant par le phishing. Toutefois, il ajoute que les techniques de phishing évasives connaissent un taux de croissance plus élevé, car ces méthodes fonctionnent encore mieux et contournent les outils de sécurité traditionnels.
Contrôles de sécurité inefficaces
“Les contrôles de sécurité sont moins efficaces contre le phishing du navigateur car ces attaques n'impliquent pas d'injection de code dans les serveurs ou l'infrastructure”, a déclaré Neal. “Au lieu de cela, ils impliquent généralement la création d'une fausse page de connexion pour capturer les informations utilisateur, que ces contrôles ne sont pas conçus pour détecter.”
De plus, les contrôles de sécurité ne peuvent pas toujours tenir compte de « l’élément humain ».
« Ces contrôles de sécurité peuvent s'avérer inefficaces contre les attaques de phishing du navigateur, car ces attaques utilisent souvent des tactiques d'ingénierie sociale qui contournent les défenses techniques », a expliqué Ben Chappell, PDG d'Apona.
“Ils exploitent les vulnérabilités humaines, telles que la confiance ou le manque de sensibilisation, plutôt que les vulnérabilités du système”, a-t-il déclaré à TechNewsWorld.
En plus d'une analyse sur 12 mois du phishing par navigateur, les chercheurs de Menlo ont examiné plus en détail une période de 30 jours au cours du dernier trimestre 2023. Au cours de cette période, ils ont découvert que 31 000 attaques de phishing par navigateur ont été lancées contre Menlo. clients dans plusieurs secteurs et régions par des acteurs malveillants, notamment Lazarus, Viper et Qakbot.
De plus, 11 000 de ces attaques étaient des attaques « zéro heure » qui n’affichaient aucune signature numérique ni aucun fil d’Ariane qu’un outil de sécurité pourrait détecter afin que l’attaque puisse être bloquée.
“Les 11 000 attaques de phishing zéro heure observées sur une période de 30 jours, indétectables par les outils de sécurité traditionnels, soulignent l'inadéquation des mesures existantes contre l'évolution des menaces”, a déclaré Patrick Tiquet, vice-président de la sécurité et de l'architecture chez Keeper Security, une société de gestion de mots de passe. et société de stockage en ligne, à Chicago.
« Le paysage croissant des menaces posées par les attaques hautement évasives basées sur les navigateurs est une autre raison pour laquelle les organisations doivent donner la priorité à la sécurité des navigateurs et déployer des mesures de cybersécurité proactives », a-t-il déclaré à TechNewsWorld. « L’augmentation rapide des attaques de phishing basées sur les navigateurs, en particulier celles employant des tactiques d’évasion, met en évidence le besoin urgent d’une protection renforcée. »
Exploiter des sites Web de confiance
Le rapport note également que la recrudescence des attaques basées sur les navigateurs ne provient pas de sites connus, malveillants ou fallacieux. En fait, poursuit-il, 75 % des liens de phishing sont hébergés sur des sites Web connus, catégorisés ou fiables.
Pour compliquer encore davantage le problème, ajoute-t-il, le phishing s'est étendu au-delà des voies traditionnelles de courrier électronique ou d'O365. Les attaquants concentrent leurs attaques de phishing sur les plateformes de partage dans le cloud ou les applications Web, ouvrant ainsi des voies supplémentaires vers les organisations.
“Les attaquants utilisent des plateformes de partage dans le cloud et des applications Web telles que Gdrive ou Box avec des domaines de confiance pour éviter d'être détectés”, a expliqué Papez. « Cela élargit la surface d'attaque des attaquants et leur permet d'exploiter les applications d'entreprise auxquelles les utilisateurs font intrinsèquement confiance dans leur environnement de travail quotidien. Celles-ci sont devenues des moyens de phishing lucratifs pour les acteurs malveillants qui hébergent du contenu malveillant ou des fichiers protégés par mot de passe dans le cadre de campagnes de phishing d’identifiants.
En plus des tactiques d'évasion, le rapport note que les attaques basées sur les navigateurs utilisent des outils d'automatisation et d'IA pour améliorer la qualité et le volume de leurs actions de menace. Les attaquants produisent désormais des milliers d’attaques de phishing avec des signatures de menace uniques. Ceux-ci contiennent moins d’erreurs de langage, signe révélateur qui permet à l’œil humain de repérer ces menaces si elles échappent aux contrôles traditionnels.
« L'IA générative peut être utilisée pour créer un contenu hautement personnalisé et convaincant et générer des sites Web dynamiques et d'apparence légitime qui sont beaucoup plus difficiles à détecter », a déclaré Kyle Metcalf, stratège en sécurité chez Living Security, une entreprise de formation en cybersécurité à Austin, au Texas.
“Plus le site Web semble réaliste, plus il a de chances de tromper l'utilisateur”, a-t-il déclaré à TechNewsWorld.
Plus de visibilité nécessaire
Cependant, l’intelligence artificielle peut être utilisée pour bien plus que la création de sites Web sommaires.
« Les cybercriminels enregistrent fréquemment des domaines malveillants en utilisant de légères variations du nom propre pour rendre visuellement difficile la distinction de la marque appropriée », explique Luciano Allegro, co-fondateur et directeur marketing de BforeAi, une société de renseignement sur les menaces à Montpellier, en France.
“Les utilisateurs voyant un lien qui semble sécurisé cliquent dessus pour visiter un site cloné”, a-t-il déclaré à TechNewsWorld. “L'IA aide à automatiser ce processus, en générant des volumes massifs de noms adjacents et en automatisant le vol d'actifs et la création de sites légitimes.”
Le défi pour la sécurité des entreprises vient du fait que les outils de sécurité s'appuient toujours sur les signaux réseau classiques et la télémétrie traditionnelle des points finaux, note le rapport. Même les modèles d’IA formés à la télémétrie réseau échouent car les pare-feu et les passerelles Web sécurisées manquent de visibilité sur la télémétrie du navigateur.
Cette faiblesse a stimulé la croissance du vecteur d’attaque des navigateurs, poursuit-il. Sans une meilleure visibilité sur la télémétrie spécifique au navigateur, les équipes de sécurité resteront exposées aux attaques de phishing de zéro heure.
