Les kits d'hameçonnage sont des techniques de vol d'identifiants habilement dissimulées sous l'apparence de pages web légitimes de Microsoft, Instagram, PayPal, etc. Ils permettent de dérober des informations à leurs victimes, puis de les transférer vers Discord ou Telegram. Malheureusement, ils sont redoutablement efficaces et largement répandus, mais les équipes de sécurité peuvent, avec les connaissances adéquates, les exploiter comme source de renseignements.
Dans sa vidéo Kits de phishing à la recherche, hacker éthique et chercheur en cybersécurité John Hammond Nous enquêtons sur les kits d'hameçonnage. Visionnez la vidéo et/ou consultez le résumé des points clés que nous en avons tirés ci-dessous.
1. Les kits de phishing sont livrés entièrement assemblés.
Les cybercriminels créent-ils des sites d'hameçonnage de toutes pièces ? Non, à l'instar des kits de préparation de repas, et comme leur nom l'indique, il s'agit de kits pré-assemblés. La plupart des sites d'hameçonnage fonctionnent en réalité grâce à des kits téléchargeables qui contiennent tout le nécessaire. Ces kits incluent des fichiers ZIP regroupant tous les composants permettant de lancer une opération de vol d'identifiants en quelques minutes. Généralement, ils contiennent :
- Pages HTML clonées de services légitimes comme Microsoft, Google ou des portails bancaires
- JavaScript pour masquer le code et le comportement côté client
- PHP pour exfiltrer des identifiants volés vers des serveurs distants ou par e-mail
Ces kits sont largement vendus ou échangés sur des forums clandestins, rendant les campagnes d'hameçonnage plus accessibles que jamais, même aux acteurs malveillants qui n'ont peut-être pas les compétences nécessaires pour construire leur propre kit.
2. Ils ont l'air authentiques, jusqu'au moindre pixel.
L'une des constatations les plus troublantes ? Ces kits créent souvent des sites web qui reproduisent visuellement les originaux de façon quasi parfaite. John examine des portails de connexion clonés qui imitent à la perfection les logos, les couleurs, les polices et même les invites d'authentification à deux facteurs des marques.
Sur les appareils mobiles, kits de phishingL'URL étant plus difficile à repérer, les victimes sont encore plus susceptibles de tomber dans le piège.
Dans un exemple, la seule façon de savoir que le site était faux était une différence subtile dans le domaine, par exemple login-microsoftverify[.]com contre login.microsoft.com.
Cependant, certains sites sont loin d'être aussi fidèles à leurs homologues officiels. Par exemple, ce kit de phishing Instagram utilise une police de caractères différente de celle de la page de connexion Instagram d'origine, et la barre de navigation en bas de page est inactive.
John consulte un compte Instagram kit de phishing
Flare Research a découvert une tentative d'hameçonnage sophistiquée et ciblée imitant un courriel de recrutement de Google. Ce courriel ne comportait aucune faute d'orthographe, respectait l'identité visuelle de Google et semblait avoir fait l'objet de recherches approfondies. La page redirige vers un site web nécessitant une connexion via Google et capable de capturer les codes d'authentification multifacteur (MFA).
Courriel d'hameçonnage qui semble recruter quelqu'un pour un emploi chez Google
3. Elles intègrent des mécanismes de défense contre les chercheurs en sécurité.
Kits de phishing Ils ne se contentent pas de tromper les utilisateurs finaux ; ils tentent aussi d’échapper à la détection des experts en sécurité. John révèle que de nombreux kits contiennent :
- Filtrage IP pour bloquer le trafic provenant de fournisseurs de cloud connus ou de plages d'adresses IP gouvernementales
- Détection de l'agent utilisateur pour filtrer les robots et les crawlers
- Vérifications du référent pour s'assurer que le site ne fonctionne que lorsqu'il est lié à partir de sources spécifiques
- Code obscurci pour masquer le comportement du site web, rendant son analyse plus difficile.
Certains kits s'autodétruisent même s'ils sont ouverts dans un environnement qu'ils soupçonnent d'être utilisé à des fins de recherche.
4. Des outils simples peuvent analyser un Kit d'hameçonnage
John démontre comment des outils de base comme VS Code, les utilitaires de terminal (grep, chaînes de caractères) et curl peuvent grandement contribuer à la compréhension des fonctionnalités d'un kit.
Il utilise l'analyse statique pour examiner comment les identifiants sont collectés : qu'ils soient envoyés par courriel à une adresse jetable, téléchargés sur un serveur ou envoyés à un bot Telegram.
Il procède ensuite à une analyse dynamique en créant un environnement local pour observer le comportement en direct d'un site de phishing et les types de données qu'il capture.
Cette approche hybride d'analyse statique et dynamique révèle :
- Comment les données volées sont exfiltrées (ex. e-mail, PHP mailer, Telegram)
- Des portes dérobées cachées qui peuvent également compromettre le pirate (oui, pirater les pirates !)
- Indices concernant le créateur ou la réutilisation des kits
Il montre même comment retracer les points de terminaison d'exfiltration et remonter jusqu'à l'infrastructure de l'opérateur.
5. Les kits d'hameçonnage sont de précieuses sources de renseignements sur les menaces
John affirme que les kits d'hameçonnage ne sont pas seulement des menaces, mais aussi des opportunités. Si les équipes de sécurité parviennent à collecter et à analyser ces kits, elles peuvent :
- Mettre en place des systèmes de détection des indicateurs de compromission (IOC) tels que les modèles de domaine ou les points de terminaison d'exfiltration d'emails.
- Identifier l'infrastructure de campagne
- Suivez la réutilisation des campagnes à mesure que de nombreux kits sont partagés et rebaptisés, tout en partageant du code entre différents kits.
- Cartographier les TTP (tactiques, techniques et procédures) des attaquants et parfois même identifier les attaquants, notamment lorsque des failles de sécurité opérationnelle laissent de vrais noms ou adresses électroniques dans les fichiers de configuration.
- Détecter les « journaux d’hameçonnage » réutilisés ou les bases de données d’identifiants volés
- Découvrez les intentions ou les cibles du créateur en recherchant des métadonnées telles que les noms d'utilisateur ou les variables spécifiques au site.
- Repérez les domaines d'hameçonnage ou les kits de détection avant leur déploiement à grande échelle grâce à l'OSINT.
John enquête sur les chaînes Telegram qui vendent des kits de phishing.
Surveillez les kits d'hameçonnage avec Flare
La fusée Gestion de l'exposition aux menaces (TEM) Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez ce qui pourrait se trouver sur le dark web concernant votre organisation grâce à un essai gratuit.
