Nouvelle attaque de phishing expose des identifiants de connexion via Google Search
Chaque jour, mois et année qui passe, il est clair que les cyberattaques ne disparaissent pas. Toute entreprise, personne ou secteur peut être attaqué à tout moment. La dernière en date est une arnaque de phishing qui a ciblé des industries majeures, telles que la construction, et a exposé des identifiants de connexion via la recherche Google.
Arnaque de phishing exposée via Google
Check Point Research a alerté le monde à travers un article de blog que des identifiants de connexion volés d’industries majeures avaient été publiés sur des domaines WordPress compromis. Il a ensuite été découvert dans le forum le plus public qui soit : la recherche Google.
Tout a commencé par des e-mails contenant des noms ou titres d’employés dans l’objet d’e-mails frauduleux. Les employés provenaient d’industries telles que la construction, l’informatique, la santé, l’immobilier et la fabrication. Ces e-mails imitaient des notifications de Xerox/Xeros provenant d’un serveur Linux et hébergées sur Microsoft Azure. Des spams ont également été envoyés via des comptes e-mail qui avaient déjà été compromis, donnant une légitimité aux messages.
Des fichiers HTML contenant du code JavaScript intégré étaient attachés aux e-mails. Ceux-ci avaient un seul objectif : effectuer des vérifications discrètes des mots de passe. Lorsque l’entrée des identifiants de connexion était détectée, ils étaient récupérés, et les utilisateurs étaient dirigés vers des pages de connexion.
« Bien que cette chaîne d’infection puisse sembler simple, elle a contourné avec succès le filtrage Microsoft Office 365 Advanced Threat Protection (ATP) et a volé les identifiants de plus d’un millier d’employés d’entreprise », selon Check Point.
Les sites web piratés impliqués dans cette cyberattaque étaient construits sur le CMS WordPress. Check Point a expliqué que ces domaines étaient utilisés comme « serveurs de points de chute » pour traiter les identifiants de connexion volés.
Après que les identifiants de connexion aient été envoyés aux serveurs de points de chute, ils étaient enregistrés dans des fichiers qui étaient ensuite indexés par Google, les rendant publics. Ils étaient disponibles pour quiconque via une recherche sur Google. Mais les serveurs n’ont été utilisés que pendant environ deux mois, liés à des domaines .XYZ.
« Les attaquants préfèrent généralement utiliser des serveurs compromis plutôt que leur propre infrastructure en raison de la réputation bien connue des sites existants », a expliqué Check Point. « Plus la réputation est largement reconnue, plus les chances sont élevées que l’e-mail ne soit pas bloqué par les fournisseurs de sécurité. »
Un avertissement pour l’avenir
Les preuves découvertes montrent que cette arnaque de phishing particulière pourrait exister depuis un certain temps. Un e-mail d’août dernier a été comparé avec l’escroquerie récemment découverte, et ils avaient le même encodage JavaScript.
Tout cela montre simplement que nous ne pouvons pas baisser notre garde. Des secteurs majeurs et tout individu ou entreprise peuvent être affectés, et cela peut impliquer des géants de la technologie tels que Google et WordPress. Rien n’est jamais sûr lorsqu’il s’agit d’Internet. Soyez toujours vigilant et prenez soin de vos informations.
lisez la suite pour découvrir comment la tendance du travail à domicile a conduit à une augmentation des cyberattaques et des fausses applications de collaboration.
