L’époque du phishing artisanal, où les attaquants créaient leur message à la main et se dotaient de leur propre serveur de récupération des identifiants, appartient au passé. Ceux qui veulent piéger les internautes peuvent désormais s’adresser à des équipes professionnelles qui se chargent de tout, comme ont pu le constater les chercheurs en sécurité de Microsoft. Durant leurs analyses, ils ont découvert un énorme opérateur de « phishing-as-a-service » (PhaaS), capable de fournir un « service » complet. Il y a juste à payer et à cliquer.
Cent dollars pour un canevas d’usurpation
Baptisé « BulletProofLink », ce groupe de professionnels est actif depuis au moins 2018. Il fournit plus d’une centaine de canevas qui usurpent l’identité de services en ligne comme DHL, DocuSign, AT&T ou Office 365. Ces canevas coûtent autour d’une centaine de dollars l’unité. Le groupe fournit également les liens qui permettent de rediriger la victime vers le faux site d’authentification. Comptez 50 dollars pour un lien à l’unité.
Ces liens sont un peu le nerf de la guerre dans le phishing, car ils ne doivent pas être blacklistés. Pour y arriver, le groupe pirate les serveurs DNS de domaines réels et les utilise, tel un parasite, pour générer en grande quantité des URL de phishing à usage unique. Une technique que le groupe appelle joliment « infinite subdomain abuse ». Le site d’authentification, sur lequel la victime est redirigée au final, peut également être fourni et hébergé par BulletProofLink.
Les premières commandes bénéficient d’une remise de 10 %, à condition de s’abonner à la newsletter du groupe. Évidemment, les « clients » ne sont pas obligés d’acheter tous ces services à l’unité. Des offres d’abonnements sont également disponibles, à partir de 800 dollars par mois, avec à la clé des tutoriels vidéo, un support technique par Skype, ICQ, forum de discussion ou messagerie instantanée, et la livraison chaque semaine d’un rapport de logs complet.
À noter, enfin, que le groupe se sert au passage sur la bête. Les identifiants récupérés au travers des différentes campagnes ne tombent pas seulement dans la poche des clients, mais également dans la leur. On ne sait jamais, ça peut toujours servir.
Source : Microsoft
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
