Du « phishing » traditionnel au « Reverse Tunnel Phishing » !

Publié par Yannick Chatelain, le 18 septembre 2022   2.1k

Lors d’une attaque « Reverse Tunnel Phishing », les escrocs n'ont pas besoins d'être des codeurs de haute voltige, comme nous allons le voir ils s’appuient simplement sur des services et des technologies préexistantes.

La méthode du Reverse Tunnel Phishing a été identifiée par des chercheurs en sécurité de CloudSEK.

Selon ces derniers, ce nouveau type d’escroquerie a été expérimenté dans un premier temps en Inde et a ciblé des banques indiennes, avec pour finalité que les clients transmettent leurs coordonnées bancaires, leur numéro Aadhaar (identité nationale indienne) et d’autres informations sensibles, carte bancaire, etc.

Durant leurs investigations, les chercheurs se sont également aperçus que ce type d’attaques novatrices avait également pris pied aux États-Unis et au Royaume-Uni. Il m’apparaît pour le moins probable que la méthode que je vais exposer le plus clairement possible soit appelée à prendre de l’ampleur, pour, à terme, devenir dominante, et remplacer progressivement les techniques de phishing usuelles contre lesquelles les structures sont de plus en plus armées, et les particuliers de plus en plus informés.

Si j’évoque un essaimage prévisible, la raison en est fort simple : à ce jour, ce type d’attaque atypique menée à grande échelle est quasiment indétectable par les contre-mesures traditionnelles considérées comme les plus efficaces.

Comment cela fonctionne-t-il ? 

Lors d’une attaque Reverse Tunnel Phishing les attaquants n’utilisent pas de vulnérabilités au sens propre du terme ; ils s’appuient simplement sur des services et des technologies préexistantes dont ils détournent habilement l’usage à des fins délictueuses. Pour faire le plus simple possible : les escrocs couplent des raccourcis d’URL comme bit.ly, vu.fr etc (qui transforment par exemple l’adresse http://www.grenoble-em.com en https://vu.fr/vMnj ) à des prestataires de Tunneling comme Ngrok, Argo Tunnel de Cloudflare…

Voilà la technique : en utilisant le Tunneling inversé, l’escroc n’a ainsi nul besoin d’hébergement web impliquant une adresse URL fixe. Aussi, une fois la tentative de phishing détectée, elle sera facile à arrêter, le prestataire sera sommé de supprimer le site de l’escroc, et si cela n’est pas possible, au minimum, il pourra être bloqué. Avec les prestataires que j’évoque, le phisher est en mesure de mettre en ligne le site copy-cat du site officiel cible sur ses propres machines et utiliser à l’envi des URL aléatoires. Dès lors qu’une URL tombe sa maitrise est donc totale… Autrement formulé, l’escroc va utiliser un service en ligne comme Argo Tunnel de façon à acheminer le trafic internet entrant vers son ordinateur local ou son réseau d’ordinateurs locaux. Il pourra ainsi changer les URL quand nécessaire.

Ndla : le tunneling inversé n’est pas un service illégal. Dans un usage non dévoyé il est même extrêmement utile. Par exemple, il peut permettre aux usagers d’accéder à leur ordinateur personnel lors de leurs déplacements, tout comme il peut fonctionner comme un testeur et permettre de développer des applications ou des sites web, de les tester avant leur mise en ligne sur internet.

A contrario, lorsqu’il est couplé à l’utilisation de raccourcisseurs d’URL, le tunneling inversé permet aux escrocs de contourner les pièges usuels qui arrêtent les campagnes de phishing. Cela les rend à ce jour difficilement détectables par les services d’analyse d’URL de type incompass.netstar-inc.com des structures qui permettent de lutter contre le phishing… Elles vont devoir intégrer rapidement dans leur prestation des moyens pour lutter contre cette nouvelle approche, tout comme les prestataires proposant des formations à la cybersécurité proposent aux entreprises des simulations d’attaques de phishing afin de former leurs salariés.

De mon point de vue, le phénomène est indéniablement appelé à prendre de l’ampleur. Il s’écoulera certainement quelques mois avant qu’il ne puisse être combattu efficacement et laisse la place à un autre coup d’escrocs qui, soyez-en certains, ne sont jamais à court d’idées pour contourner les barrières érigées pour protéger l’usager. Le particulier non salarié n’a pas accès aux formations que j’ai évoquées, et tout le monde n’est pas formé pour comprendre pleinement la rouerie de ce type d’attaques. Toutefois, j’espère que cet article permettra aux lecteurs de redoubler de vigilance, de comprendre que les escrocs ont souvent, pour ne pas dire toujours, un temps d’avance sur ceux qui les combattent.

Pour se protéger : cultivez le jardin de vos doutes !

Aussi, et pour conclure, s’il est une seule règle à respecter pour garantir sa sécurité à presque 100 % sur ce type d’escroqueries : du bon sens, toujours du bon sens, encore du bon sens.

En attendant, comme je l’ai déjà suggéré dans un précédent article : que les organisations renoncent définitivement à envoyer des liens à leurs clients et/ou salariés, la seule attitude sécure est de ne jamais cliquer sur un lien qui vous est envoyé par SMS ou courriel. Cultivez le doute !

  1. Faites éventuellement une recherche sur votre moteur de recherche préféré pour voir si une attaque de type phishing est en cours.
  2. Rendez-vous sur le site de l’organisation afin de valider que ce qui est proposé via le SMS ou courriel reçu est bien présent sur le site officiel.

« Un bon escroc est un farceur ironique qui se joue de la distraction, de l’impertinence, de la naïveté ou de la nervosité de ses contemporains. » Henri Jeanson

Publié le 17 septembre 2022 sur CONTREPOINTS

Photo credit: Richzendy on VisualHunt.com