Les attaques de phishing sont maintenant incroyablement courantes. Cette méthode de cybercriminalité peut être très efficace dans le vol de données et ne nécessite pas une énorme quantité de travail au niveau de base. Mais le phishing se présente également sous de nombreuses formes, dont l'une est les attaques Adversary-in-the-Middle. Alors, que sont les attaques de phishing Adversary-in-the-Middle? Et comment les éviter ?
Que sont les attaques de l'adversaire au milieu ?
Une attaque de phishing Adversary-in-the-Middle (AiTM) implique le vol de cookies de session pour voler des données privées et même contourner les couches d'authentification.
Vous avez probablement déjà entendu parler des cookies. Aujourd'hui, la plupart des sites sur lesquels vous cliquez vous demanderont la permission d'utiliser des cookies pour mieux personnaliser votre expérience en ligne. En bref, les cookies suivent votre activité en ligne pour comprendre vos habitudes. Ce sont de petits fichiers texte de données qui peuvent être envoyés à votre serveur chaque fois que vous cliquez sur une nouvelle page Web, ce qui donne donc à certaines parties la possibilité de surveiller votre activité.
Il existe de nombreux types de cookies. Certains sont nécessaires, d'autres non. Les attaques AiTM concernent les cookies de session. Ce sont des cookies qui stockent temporairement les données de l'utilisateur pendant une session Web. Ces cookies sont immédiatement perdus dès que vous fermez votre navigateur.
Comme c'est toujours le cas avec le phishing, une attaque de phishing AiTM commence par la communication du cybercriminel avec la cible, généralement par e-mail. Ces escroqueries utilisent également des sites Web malveillants pour voler des données.
Les attaques AiTM ont été un problème particulièrement urgent pour les utilisateurs de Microsoft 365, les attaquants contactant les cibles et leur demandant de se connecter à leurs comptes 365. L'acteur malveillant usurpera l'identité d'une adresse officielle de Microsoft dans cette escroquerie, qui est également typique des attaques de phishing.
Le but ici n'est pas seulement de voler les informations de connexion, mais de contourner l'authentification multifacteur (MFA) de la victime ou authentification à deux facteurs (2FA) couche. Il s'agit de fonctionnalités de sécurité utilisées pour vérifier une connexion à un compte en demandant l'autorisation d'un appareil ou d'un compte distinct, tel que votre smartphone ou votre adresse e-mail.
Le cybercriminel utilisera également un serveur proxy pour communiquer avec Microsoft et héberger la fausse page de connexion 365. Ce proxy permet à l'attaquant de voler le cookie de session et les informations de connexion de la victime. Lorsque la victime saisit ses informations de connexion dans le site malveillant, il volera alors le cookie de session pour fournir une fausse authentification. Cela donne à l'attaquant la possibilité de contourner la demande 2FA ou MFA de la victime, lui donnant un accès direct à son compte.
Comment se protéger contre les attaques de phishing AiTM
Bien qu'une attaque de phishing AiTM diffère d'une attaque de phishing typique, vous pouvez toujours utiliser les mêmes pratiques pour éviter la première que la seconde. Cela commence par tous les liens fournis dans vos e-mails.
Si vous recevez un e-mail d'un expéditeur prétendument fiable indiquant que vous devez utiliser le lien fourni pour vous connecter à l'un de vos comptes en ligne, soyez prudent. Il s'agit d'une astuce de phishing classique qui peut être facilement ratée, surtout si l'attaquant utilise un langage persuasif ou urgent pour vous convaincre de vous connecter à un compte dès que possible.
Ainsi, si vous recevez un e-mail contenant un lien, quel qu'il soit, assurez-vous de l'exécuter via un site de vérification des liens avant de cliquer. De plus, si l'e-mail indique que vous devez vous connecter à un compte, recherchez simplement la page de connexion sur votre navigateur et accédez à votre compte. De cette façon, vous pouvez voir s'il y a des problèmes que vous devez résoudre sur votre compte sans cliquer sur aucun type de lien fourni.
Vous devez également éviter d'ouvrir les pièces jointes qui vous sont envoyées à partir d'une adresse inconnue, même si l'expéditeur prétend être une personne de confiance. Les pièces jointes malveillantes peuvent également être utilisées dans les attaques de phishing AiTM, vous devez donc vous méfier de ce que vous ouvrez.
En bref, s'il n'y a pas vraiment besoin d'ouvrir la pièce jointe, laissez-la tranquille.
Si, d'autre part, vous pensez que vous devez ouvrir la pièce jointe, effectuez quelques vérifications rapides avant de le faire. Vous devriez examiner le type de fichier de la pièce jointe pour déterminer si elle doit être considérée comme suspecte. Par exemple, les fichiers .pdf, .doc, zip et .xls sont connus pour être utilisés dans des pièces jointes malveillantes, alors soyez prudent si une pièce jointe donnée est l'un de ces types de fichiers.
En plus de cela, vérifiez le contexte de l'e-mail. Si l'expéditeur prétend que la pièce jointe contient un document, tel qu'un relevé bancaire, mais que le fichier a une extension .mp3, vous avez probablement affaire à une pièce jointe trompeuse et potentiellement dangereuse, car un fichier MP3 ne serait pas utilisé pour un document.
Regardez l'adresse de l'expéditeur de tout e-mail suspect que vous recevez. Bien sûr, chaque adresse e-mail est unique, de sorte qu'un attaquant ne peut pas utiliser une adresse e-mail officielle de l'entreprise pour communiquer avec vous à moins qu'elle n'ait été piratée. Dans le cas du phishing, les escrocs utilisent souvent des adresses e-mail qui ressemblent quelque peu à l'adresse officielle d'une organisation.
Par exemple, si vous recevez un e-mail d'une personne se réclamant de Microsoft, mais que vous remarquez que l'adresse indique "micr0s0ft" au lieu de "Microsoft", vous avez affaire à une escroquerie par hameçonnage. Les criminels ajouteront également une lettre ou un chiffre supplémentaire à une adresse e-mail afin qu'elle ressemble beaucoup, mais pas identique, à l'adresse légitime.
Vous pouvez même déterminer si un lien est suspect en le regardant. Les sites malveillants contiennent souvent des liens qui semblent inhabituels. Par exemple, si un e-mail indique que le lien fourni vous enverra vers une page de connexion Microsoft, mais que l'URL indique qu'il s'agit d'un site Web complètement différent, évitez. La vérification du domaine du site Web peut être particulièrement utile pour éviter le phishing.
Enfin, si vous recevez un e-mail d'une source prétendument officielle qui est jonché de fautes d'orthographe et de grammaire, vous avez probablement affaire à un escroc. Les entreprises officielles s'assurent souvent que leurs e-mails sont écrits correctement, alors que les cybercriminels peuvent parfois être bâclés dans leurs communications. Donc, si un e-mail que vous avez reçu est écrit très paresseusement, soyez prudent dans la façon dont vous procédez.
Soyez sur vos gardes pour éviter les attaques de phishing AiTM
Le phishing est extrêmement répandu et est utilisé pour cibler à la fois les individus et les organisations, ce qui signifie que personne n'est vraiment à l'abri de cette menace. Ainsi, pour éviter les attaques de phishing AiTM et le phishing en général, tenez compte des conseils fournis ci-dessus pour protéger vos données.
