Phishing : abus du Google Cloud

Les cybercriminels profitent du Google Cloud pour lancer des campagnes de phishing et voler des informations sur les comptes.

Selon « Check Point Research », les cybercriminels utilisent les fonctions de la plateforme « Google Cloud » pour faire avancer leurs campagnes de phishing et voler les données de leurs comptes. L’équipe de recherche de Check Point® Software Technologies Ltd. a découvert une nouvelle campagne de phishing en rapport avec le « Google Cloud ». Les cybercriminels ont abusé du nom et des fonctions de cette plateforme pour accéder aux données de connexion des utilisateurs.

Lotem Finkelsteen : Les pirates informatiques se concentrent de plus en plus sur les services de stockage dans le nuage !

L’ATTAQUE COMMENCE PAR LE CHARGEMENT D’UN DOCUMENT PDF SUR LE DISQUE DUR DE GOOGLE

L’attaque commence par un document pdf, qui est chargé par les fraudeurs sur le lieu de stockage « Google Cloud » « Google Drive ». Ce fichier PDF contient un lien vers un site de phishing qui se fait passer pour un prétendu site « Office 365 » et qui affiche une fausse fenêtre de connexion.
« Si les utilisateurs y entrent leurs données de connexion, elles sont envoyées au serveur des pirates. Jusqu’à présent, c’est la procédure habituelle pour les attaques de phishing. Mais le danger est que, comme le processus passe par la plateforme « Google Cloud », l’utilisateur n’est pas averti par des signaux clairs tels que l’absence des certificats habituels du site ou le cadenas vert dans la barre d’adresse ».

OBFUSCATION À L’AIDE DES FONCTIONS DE GOOGLE CLOUD

En outre, après avoir saisi ses données d’enregistrement, l’utilisateur est en fait conduit à un rapport d’un cabinet de conseil en gestion renommé sous la forme d’un document pdf. Cela le trompe après le vol réussi de ses informations et le pèse en plus dans la sécurité.
Pour détecter les intentions malveillantes derrière cette campagne, il faudrait jeter un coup d’œil au code source du site de phishing. Cela révèle « que la plupart des contenus sont chargés à partir d’une adresse externe – qui appartient probablement aux criminels ». Cependant, les criminels utilisent les « fonctions Google Cloud » comme un outil – un service fourni par Google pour exécuter du code dans le « Google Cloud ». Les criminels sont ainsi en mesure de dissimuler la véritable origine de ce contenu externe et frauduleux.

LES UTILISATEURS DU « GOOGLE CLOUD » DEVRAIENT RÉFLÉCHIR À DEUX FOIS AVANT D’OUVRIR DES FICHIERS

« Les pirates informatiques se concentrent de plus en plus sur les services de stockage dans le nuage auxquels nous faisons confiance. Il est donc beaucoup plus difficile de détecter une attaque de phishing. Les « signaux d’alarme » traditionnels d’une attaque de phishing, tels que les noms de domaine à consonance similaire ou les sites web sans les certificats requis, ne sont pas d’un grand secours », avertit Lotem Finkelsteen, responsable du renseignement sur les menaces chez Check Point Software Technologies.
Les utilisateurs de la plateforme « Google Cloud », même les utilisateurs de « AWS » et de « MS-Azure », devraient se méfier de cette tendance qui se développe rapidement et apprendre à se protéger. Selon M. Finkelsteen, « Cela commence par le fait que les utilisateurs doivent réfléchir à deux fois avant de recevoir et d’ouvrir des fichiers par courrier électronique.

HP : Les courriers d’hameçonnage à haut risque

Les points faibles de l’infrastructure informatique peuvent devenir une passerelle pour les pirates. Mais un manque de sensibilisation des employés à la sécurité augmente également le risque d’attaques réussies de l’extérieur. Dans une déclaration actuelle, HP cite cinq menaces majeures pour la sécurité informatique.

Avec la numérisation et la mise en réseau, les points d’attaque potentiels des cybercriminels augmentent également. De nombreuses entreprises sous-estiment ce risque. Ceux qui veulent se protéger de manière fiable doivent connaître les plus grands risques de sécurité pour l’infrastructure informatique des entreprises.

Les logiciels malveillants via les courriels de phishing : une grande partie des cyber-attaques sont menées via des courriels de phishing avec des liens ou des pièces jointes manipulés. Les pirates informatiques utilisent ces courriers pour accéder aux réseaux d’entreprises. Il s’agit du vol des identifiants de connexion ou de la diffusion de logiciels malveillants. L’époque où les courriers électroniques d’hameçonnage étaient faciles à détecter est révolue depuis longtemps. Ils sont authentiques et presque impossibles à distinguer des vrais courriers.

Un courrier de phishing Dynamit de la dernière génération, par exemple, joint des courriers volés afin de récupérer une communication déjà existante. Le Trojan Emotet, par exemple, qui a infecté de nombreux ordinateurs depuis 2014 et qui est à nouveau actif actuellement, a perfectionné ses attaques avec le Dynamit-Phishing. Un autre scénario d’attaque implique des liens d’apparence faussement réelle sur une interface utilisateur faussement similaire. L’utilisateur peu méfiant se connecte au faux site et révèle ainsi ses données d’accès.

Téléchargement de fichiers : Lorsque vous téléchargez des fichiers à partir de sources externes – que ce soit en installant des programmes ou en lançant des transferts de fichiers par FTP – il y a toujours le risque d’être victime d’attaques de logiciels malveillants. Les variantes d’attaque vont des fausses mises à jour, de la redirection d’URL, de la manipulation du DNS ainsi que des faux pilotes et outils système.

Sites de médias sociaux : Les plateformes sociales sont souvent sous-estimées comme une menace. Pourtant, ils sont un lieu idéal pour les fraudeurs – les utilisateurs tombent rapidement dans le piège. En plus de placer des logiciels malveillants, les attaquants peuvent y recueillir des informations sur les employés, qu’ils peuvent ensuite utiliser pour des campagnes de phishing ciblées.

Shadow IT : si les employés utilisent leurs propres applications ou même leur propre matériel à l’insu du service informatique, le risque de cyber-attaques augmente. Comme cette informatique fantôme reste sous le radar du service informatique, il est impossible de l’intégrer dans les mécanismes de protection et les cycles de mise à jour internes habituels de l’entreprise.

Ordinateurs non patchés : de nombreuses attaques ne sont pas réalisées à l’aide de kits d’attaque sophistiqués, mais utilisent plutôt des vulnérabilités connues. Cependant, de nombreuses entreprises mettent encore trop de temps à mettre en place des mises à jour de systèmes de sécurité sur l’ensemble de leur parc de matériel. Un exemple bien connu est le logiciel malveillant WannaCry. Elle a infecté des centaines de milliers d’ordinateurs en quelques jours. WannaCry exploitait une vulnérabilité connue de Windows que Microsoft avait corrigée des semaines auparavant. En même temps, les supposées mises à jour du système peuvent être un danger si elles sont lancées par l’employé lui-même et téléchargées à partir d’un site web non qualifié.

Groupes de pirates informatiques organisés

« Derrière les attaques d’aujourd’hui se cachent d’une part des groupes de pirates informatiques organisés avec des méthodes de plus en plus sophistiquées. D’autre part, les failles de sécurité évitables et trop souvent l’erreur humaine rendent la tâche trop facile aux criminels : un clic imprudent suffit au cyber-attaquant pour accéder aux données critiques de l’entreprise. Dans le pire des cas, les virus informatiques peuvent alors se propager sur l’ensemble du réseau », explique Jochen Koehler, directeur commercial des solutions de sécurité chez HP. « Avec les solutions de sécurité classiques, les entreprises ont depuis longtemps cessé de contrôler les nombreux vecteurs d’attaque. La seule mesure de protection sensée pour ce type d’attaque est l’isolation de l’application respective par micro-virtualisation.

Une telle solution de virtualisation est disponible avec HP Sure Click Enterprise. Grâce à elle, toute activité risquée de l’utilisateur, comme le téléchargement et l’ouverture d’un document, peut être encapsulée dans une machine micro-virtuelle séparée (micro-VM). Tout dommage potentiel causé par un logiciel malveillant est donc toujours limité à la micro-MV concernée. Une fois qu’une activité telle que la fermeture d’un dossier est terminée, elle est automatiquement supprimée.