Les chercheurs en cybersécurité d'Akamai ont détecté une nouvelle campagne de phishing ciblant les consommateurs aux États-Unis avec de fausses offres de vacances. L'objectif de la campagne est de voler des informations d'identification sensibles telles que les informations de carte de crédit et, en fin de compte, votre argent.
Les acteurs de la menace créent des pages de destination qui se présentent comme certaines des plus grandes marques aux États-Unis, notamment Dick's, Tumi, Delta Airlines, Sam's Club, Costco et d'autres.
La page de destination, souvent hébergée par des services cloud réputés comme Google ou Azure, demande aux utilisateurs de répondre à un court sondage, après quoi on leur promet un prix. L'enquête aurait également un délai de cinq minutes, utilisant l'urgence pour détourner l'attention des gens des signaux d'alarme potentiels.
URL de phishing uniques
Après avoir répondu à l'enquête, les victimes seraient déclarées "gagnantes". La seule chose qu'ils auraient à faire maintenant, pour recevoir leur prix, serait de payer les frais d'expédition. C'est là qu'ils donneraient leurs informations de paiement sensibles, pour que les attaquants les utilisent de différentes manières.
Cependant, ce qui rend cette campagne unique, c'est son système basé sur des jetons qui lui permet de passer inaperçue et non détectée par les solutions de cybersécurité.
Comme l'expliquent les chercheurs, le système permet à chaque victime d'être redirigée vers une URL de page de phishing unique. Les URL diffèrent en fonction de l'emplacement de la victime, car les escrocs cherchent à se faire passer pour des marques disponibles localement.
Expliquant le fonctionnement du système, les chercheurs ont déclaré que chaque e-mail de phishing contient un lien vers la page de destination, ainsi qu'une ancre (#). C'est généralement ainsi que les visiteurs sont dirigés vers des parties spécifiques d'une page de destination. Dans ce scénario, la balise est un jeton, utilisé par JavaSCript sur la page de destination, qui reconstruit l'URL.
"Les valeurs après l'ancre HTML ne seront pas considérées comme des paramètres HTTP et ne seront pas envoyées au serveur, mais cette valeur sera accessible par le code JavaScript exécuté dans le navigateur de la victime", ont déclaré les chercheurs. "Dans le contexte d'une escroquerie par hameçonnage, la valeur placée après l'ancre HTML peut être ignorée ou ignorée lorsqu'elle est analysée par des produits de sécurité pour vérifier si elle est malveillante ou non."
"Cette valeur sera également perdue si elle est visualisée avec un outil d'inspection du trafic."
Les solutions de cybersécurité ignorent ce jeton, ce qui aide les pirates à garder un profil bas. D'un autre côté, les chercheurs, analystes et autres visiteurs indésirables restent à l'écart, car sans le jeton approprié, le site ne se chargera pas.
Via : BleepingComputer (Ouvre dans un nouvel onglet)