Cloudflare met en garde contre une nouvelle technique de phishing où les attaquants utilisent le link wrapping pour vous rediriger indirectement vers de fausses pages de connexion Microsoft.
Le phishing reste aujourd’hui encore une méthode éprouvée pour les cybercriminels, qui font preuve d’une créativité croissante pour vous faire cliquer sur un lien malveillant. Cloudflare a découvert une nouvelle technique où les pirates utilisent le ‘link wrapping’ pour dissimuler de fausses pages de connexion Microsoft.
lire aussi
« Furtivité de crawling » de Perplexity AI détectée dans une étude de Cloudflare
Cette technique d’attaque inverse complètement l’objectif du link wrapping. Le link wrapping consiste à réécrire les URL. Cette technique est normalement destinée à protéger contre les menaces classiques, mais les attaquants ont découvert qu’ils pouvaient ’emballer’ des liens malveillants pour les faire paraître sûrs et légitimes.
Liens Microsoft enveloppés
Les attaquants utilisent des outils légitimes disposant de fonctions de link wrapping, comme Proofpoint et Intermedia. Depuis juin, l’équipe de sécurité des e-mails de Cloudflare a observé plusieurs campagnes de phishing où les cybercriminels utilisaient le link wrapping pour masquer des liens malveillants. Des liens Bitly malveillants raccourcis ont été acheminés via ces outils pour paraître fiables.
Les services Microsoft comme Office 365 ou Teams sont les plus fréquemment imités. Les utilisateurs reçoivent un e-mail avec un bouton qui renvoie par exemple à un message vocal ou un document partagé. Derrière ce bouton se cache un lien traité par un wrapper, qui mène, via plusieurs redirections, à une page de phishing tentant de voler les identifiants.
Risque accru
La combinaison de domaines de sécurité de confiance et d’e-mails convaincants augmente la probabilité que les utilisateurs cliquent effectivement sur les liens, avertit Cloudflare. Cela accroît le risque de vol de données et/ou de préjudice financier. Selon Cloudflare, un cas de phishing sur dix entraînerait une perte d’argent : le préjudice moyen de 600 dollars n’est pas négligeable.
lire aussi
Les cybercriminels exploitent le link wrapping pour voler votre compte Microsoft
De plus, l’utilisation de plateformes de sécurité légitimes rend le filtrage traditionnel des URL inefficace. Cloudflare a donc développé des règles de détection spécifiques, notamment des modèles d’apprentissage automatique, entraînés sur les caractéristiques de ces liens manipulés. Ces règles analysent entre autres le contenu des e-mails et les modèles d’URL spécifiques typiques de ces attaques.
Cloudflare conseille d’être particulièrement vigilant face aux e-mails contenant des liens réécrits, surtout lorsqu’ils imitent des services Microsoft. Les organisations devraient privilégier la détection contextuelle et l’analyse comportementale plutôt que le seul filtrage basé sur la réputation.