Une fois de plus, il semble que les acteurs qui défendent les intérêts d'un cyberespace plus sûr, tels qu'AXS Guard, ne peuvent se reposer sur leurs lauriers. Après tout, les pirates informatiques ont encore trouvé de "nouveaux" moyens d'attirer les utilisateurs du cyberespace vers des sites Web malveillants. "Nouveau" est entre guillemets... parce qu'il a fallu 18 mois pour détecter ces pratiques frauduleuses.
Quel est le problème?
Infoblox, une société américaine spécialisée dans la sécurité DNS, a récemment fait une découverte troublante concernant une entité nommée Prolific Puma. L'organisation aurait facilité un service visant à rediriger des internautes vers des sites Web malveillants en utilisant des URLs raccourcies.
Infoblox a découvert que Prolific Puma avait enregistré plus de 100 000 noms de domaine au cours des six derniers mois. La plupart de ces noms de domaine étaient des noms de domaine de premier niveau (TLD) génériques, tels que .us. L'enregistrement rapide de noms de domaine par Prolific Puma a suscité des inquiétudes en raison de son association à diverses activités criminelles, notamment l'hameçonnage, la fraude et la distribution de logiciels malveillants.
L'une des principales méthodes utilisées par Prolific Puma consiste à intégrer des liens raccourcis dans des campagnes de « smishing ». Ainsi, l’organisation a réussi à échapper à la détection des entreprises de cybersécurité pendant plus de 18 mois. En amassant une collection importante de noms de domaine, elle a méthodiquement propagé du trafic malveillant tout en échappant à toute détection. Le mode opératoire de Prolific Puma et l'utilisation de ses outils de réduction d'URL ont compliqué la détection à travers les logiciels antivirus traditionnels. C'est finalement grâce à l'analyse DNS, en suivant les requêtes provenant des sites Web malveillants de l'organisation, que les activités de Prolific Puma ont été découvertes.
Comment fonctionne le piratage via des liens raccourcis?
Les services de raccourcissement d'URL ont été créés à l'origine dans le but de faciliter le partage de liens entre internautes, permettant ainsi de surmonter les limitations de caractères imposées par les médias sociaux. Parmi les exemples bien connus figurent TinyURL, Bitly, Google et LinkedIn.
Lorsqu'un utilisateur clique sur un lien raccourci, il est redirigé vers une autre URL. En arrière-plan, une requête DNS est envoyée pour résoudre l'adresse IP associée au domaine du service de raccourcissement, comme Prolific Puma.
La requête Web est ensuite redirigée vers une adresse malveillante accompagnée d'une valeur de hachage unique servant à identifier le site d'origine. Alors que les internautes créent des liens raccourcis simplement pour faciliter le partage, les cybercriminels les utilisent pour en dissimuler la véritable destination, compliquant ainsi la détection d’activités malveillantes par les logiciels de sécurité.
Prolific Puma recourt à la stratégie du « vieillissement stratégique » pour les domaines. Cette tactique permet d'éviter les mesures de sécurité conçues pour bloquer de manière préventive des domaines nouvellement enregistrés. En laissant les domaines mûrir après leur enregistrement, ils parviennent à échapper à la détection et à donner l'apparence de sources fiables.
Comment se protéger contre ce type d'attaque?
Il est essentiel de sensibiliser les utilisateurs aux risques potentiels associés aux clics sur des liens raccourcis. Une formation en sensibilisation à l'hygiène numérique, incluant la vérification de la source avant de cliquer sur un lien, peut considérablement atténuer ces risques. Bien que le conseil évident de « Ne cliquez pas sur les liens raccourcis » puisse sembler être la solution la plus simple, elle est souvent difficile, voire impossible, à mettre en pratique.
En conséquence, l'approche recommandée consiste à renforcer automatiquement la protection grâce à SecureDNS. Ainsi, AXS Guard redirige toutes les requêtes DNS des utilisateurs vers des serveurs SecureDNS hébergés par Secutec. Ces serveurs évaluent la réputation des domaines des URLs demandées, y compris celles des URLs raccourcies et de leurs destinations prévues.
A) Si un utilisateur essaie d'accéder à un domaine bloqué, l'accès lui sera refusé.
B) Si le domaine est inclus dans une liste blanche ou n'est pas identifié comme potentiellement dangereux, l'utilisateur aura la possibilité de s'y connecter.
Suivez les résultats et l'efficacité de SecureDNS en consultant le tableau de bord dédié sur AXS Guard Cloud.
Conclusion
Les répercussions d'une activité malveillante résultant de l'utilisation de liens raccourcis peuvent être dévastatrices. Ainsi, les utilisateurs sont constamment exposés à des risques tels que le vol d'identité, d'importantes pertes financières et des atteintes à la vie privée. Pour les entreprises, ces attaques peuvent entraîner le vol de données, des interruptions opérationnelles et une détérioration de leur réputation. Cela met en évidence l'impératif d'adopter des mesures de sécurité cybernétique robustes et de mettre en place des formations de sensibilisation au sein des organisations.
Piratage à travers l'utilisation de liens raccourcis