La plateforme PaaS EvilProxy permet de contourner l’authentification multi-facteurs même avec peu de savoir-faire technique.
La nouvelle plateforme de phishing en tant que service EvilProxy utilise un proxy inverse pour voler les jetons d’authentification. Cela permet de contourner l’authentification multi-facteurs (MFA) utilisée par les grandes entreprises comme Apple, Google, Facebook, Microsoft, Twitter, GitHub et bien d’autres. Même les attaquants avec un minimum de connaissances techniques devraient être en mesure de voler des comptes en ligne qui sont généralement considérés comme bien sécurisés.
EvilProxy s’appuie sur un proxy inverse pour accéder aux cookies de session
EvilProxy utilise un proxy inverse qui se situe entre la victime et le formulaire de connexion de l’entreprise. Il achemine le formulaire d’inscription légitime et le flux de données via une page de phishing visitée par la victime. Cela permet à la fausse zone de connexion d’apparaître aussi authentique que possible.
Si l’utilisateur saisit ses données d’accès et termine la procédure MFA, le serveur d’authentification renvoie un cookie de session. Celui-ci est désormais non seulement reçu par l’utilisateur, mais également transmis via le proxy suspendu entre les deux. Cela permet à l’attaquant d’accéder au jeton d’authentification stocké dans le cookie. Par conséquent, il peut prendre le contrôle de la session et contourner efficacement l’authentification multifacteur.
Comparé à d’autres frameworks de phishing populaires, EvilProxy est beaucoup plus facile à mettre en œuvre. Des vidéos d’instructions détaillées et des didacticiels, une interface graphique conviviale et une large sélection de pages de phishing clonées pour les services Internet populaires facilitent au maximum la tâche de l’attaquant et ne nécessitent pas de connaissances techniques approfondies.
Le service convivial se protège des invités non invités
Selon un rapport de la société de cybersécurité Resecurity, EvilProxy peut être configuré et géré à l’aide d’une simple interface graphique. Mais le phishing-as-a-service n’est bien sûr pas gratuit. Les données de connexion et les cookies de session peuvent être extraits de divers services bien connus pour des prix compris entre 150 et 600 dollars américains. Le fonctionnement exact d’une telle attaque est démontré par Resecurity à l’aide de vidéos utilisant un compte Google ou Microsoft à titre d’exemple.
Le service gère le paiement individuellement via Telegram. L’acheteur reçoit alors l’accès au portail hébergé dans le réseau TOR. De plus, EvilProxy offre également une protection VM, anti-analyse et anti-bot pour filtrer les visiteurs indésirables sur les sites de phishing. Comme l’explique Resecurity dans le rapport, les développeurs utilisent « plusieurs techniques et approches pour détecter les victimes et protéger le code du kit de phishing contre la détection.«
Des solutions existent – mais ont jusqu’à présent été trop rarement mises en œuvre
Une solution possible pour empêcher ce type d’attaque de type « man-in-the-middle » consiste à implémenter l’empreinte digitale TLS côté client. Cependant, ce n’est pas encore répandu dans l’industrie. Comme toujours, les nouvelles fonctionnalités de sécurité coûtent du temps et de l’argent aux entreprises. Des ressources qui ne sont pas toujours immédiatement disponibles. Et jusqu’à ce que de telles mesures soient réellement appliquées, des plates-formes comme EvilProxy restent un moyen rentable pour les cybercriminels de voler des comptes précieux.
Néanmoins, au final, l’utilisateur reste la plus grande faille de sécurité. Parce que le phishing nécessite généralement une interaction de la part de la victime. Par exemple, en cliquant sur un lien dans un e-mail ou sur un site Web, comme l’illustrent les récents événements liés à PayPal. Donc, si vous abordez des liens inattendus et peu fiables avec un scepticisme sain, votre risque de vol de compte a déjà été considérablement réduit.