Comment gagner (ou du moins ne pas perdre) la guerre contre le phishing? Faire appel à l'apprentissage automatique

Nous sommes le vendredi 3 août et j'en ai croisé un live. À l'aide de StreamingPhish, un outil qui identifie les sites de phishing potentiels en exploitant les données de certificats nouvellement enregistrés, j'ai repéré un site de phishing Apple avant même qu'il ne soit prêt pour les victimes. De manière pratique, l’opérateur a même laissé une coque Web largement ouverte pour que je puisse le regarder au travail.

Le nom de domaine complet du site est appleld.apple.0a2.com, et il en existe un autre enregistré sur le même domaine-appleld.applle.0a2.com. Lorsque je télécharge le kit de phishing, je consulte les journaux d’accès au site depuis le shell. Évidemment, je me suis rendu sur le site quelques heures seulement après l’enregistrement du certificat.

En fouillant, je trouve d'autres sites de phishing sur le même serveur dans d'autres répertoires. L'un vise les utilisateurs français de la société de télécommunications Orange; d'autres ont des noms plus génériques destinés à les dissimuler dans une URL apparemment légitime, telle que Secrty-ID.com-Logine-1.0a2.com. D'autres sont encore des blogs de spam remplis de liens d'affiliation vers des sites de commerce électronique.

Je vérifie à nouveau le journal d'accès. Le phisher est revenu, connecté depuis une adresse IP au Maroc. Il a décompressé le kit de phishing. J'envoie un message à la société d'hébergement, SingleHop, avec des captures d'écran de la page de phishing. Je signale le site à Google Safe Browsing et vérifie une fois de plus si j'ai oublié quelque chose.

Le phisher remarque quelque chose de suspect dans ses journaux d'accès. Son site étant maintenant opérationnel, il a supprimé son shell, mais pas celui d'un autre sous-domaine. J'envisage d'y retourner, mais mon travail ici est terminé.

Pendant les deux heures que j'ai passées à enquêter sur ce phishing Apple, 1 678 sites suspects ont fait leur apparition, notamment Apple, PayPal, Netflix, Instagram et Bank of America. Il faudra près de deux jours à SingleHop pour répondre à la question initiale concernant Apple: "Nous étions en contact avec la direction du serveur prétendument maltraité et, après discussion, le problème signalé est censé être résolu."

Ce type d’interaction n’est pas très efficace, mais la popularité du phishing ne fait que croître. Donc, si j'ai appris quelque chose de mon temps de diffusion sur les lignes de front de cette nouvelle guerre numérique, c'est ceci: si nous voulons réduire ces phishing, nous aurons besoin d'un bateau plus grand, avec beaucoup de monde plus d'automatisation basée sur l'apprentissage machine.

Anatomie d'un phish moderne

L'économie de phishing moderne s'apparente à celle d'une ruée vers l'or. Il y a beaucoup de petits joueurs qui arrivent avec peu ou pas de compétences préalables après que des rumeurs circulent à propos de gros hold-up. Ces ménés enrichissent les plus grandes pourvoiries prédatrices vendant des trousses et des infrastructures. Ailleurs, il y a des fondeurs qui volent les kits d'autres personnes ou créent des kits copier / coller remplis de code bâclé, et beaucoup de ceux qui fonctionnent à peine, bien que cela puisse être juste assez pour tromper le plus crédule parmi nous. Toutefois, au sommet de la chaîne alimentaire, quelques entreprises professionnelles produisent des kits de plus en plus sophistiqués destinés à la vente ou les utilisent à des fins plus ciblées.

Les phishers non qualifiés déposent simplement des kits sur des sites WordPress piratés ou, s'ils sont plus ambitieux, sur des serveurs privés virtuels à loyer modéré configurés avec cPanel, ce qui permet de gérer les domaines de phishing en une opération totalement pointer-cliquer. De nombreux kits éprouvés et maintenant brûlés (essentiellement ceux qui ont été catalogués comme des menaces par les entreprises de protection des terminaux) sont disponibles par lots de cartons au prix de 10 USD.

Les kits de phishing sont généralement écrits dans le langage de script PHP, les éléments JavaScript étant souvent extraits directement des sites qu’ils imitent. Ces kits sont généralement livrés dans un fichier compressé avec un fichier texte qui explique même au client comment les configurer. Heureusement pour ceux qui tentent de riposter, la sécurité opérationnelle de ces phishing de bas niveau a tendance à être horrible - les personnes qui gèrent ces sites de phishing sont inexpérimentées, paresseuses, ou les deux.

"Ils copieront le fichier .zip sur le serveur ou laisseront l'indexation de répertoires activée afin que vous puissiez parcourir un répertoire et télécharger le kit", a déclaré Jeremy Richards, chercheur en renseignement sur les menaces au service de sécurité mobile. fournisseur Lookout. "Certains des kits sont équipés de portes dérobées. D'autres stockent les journaux dans des fichiers texte sur le serveur. Nous pouvons ensuite effectuer des opérations telles que le suivi de l'adresse IP des utilisateurs ayant été phishing avec succès et, dans certains cas, l'adresse IP du phisher se connectant pour le téléchargement. les informations d'identification. "

Le phishing Apple que j'ai rencontré le 3 août était géré par un opérateur de longue date avec le nom-du-hack du Dr. jOker. En accédant à son compte serveur depuis le Maroc, le Dr jOker a exploité un certain nombre de sites d’achat d’affiliés frauduleux en plus d’une poignée de sites de phishing à partir de son compte Web (nommé «mintmake»). À un moment donné, il a peut-être hébergé des logiciels malveillants basés sur certains noms de répertoires sur le site, mais ces pages ont été pillées par le "Cyb3R Command0S" (destructeurs de sites prétendant être hors du Bangladesh) avant d'être fermés.

En dépit de ses problèmes de sécurité opérationnelle, le Dr. jOker semble être un codeur assez compétent. Il maintenait ses sites avec sa propre porte dérobée - un shell Web, une page du site, qui permettait à lui-même ou à quiconque de tomber par hasard sur celui-ci de télécharger, supprimer, éditer et renommer les fichiers de chaque domaine de phishing configuré. . Cette structure est ce qui m'a permis de regarder les journaux d'accès et, par conséquent, chacun de ses mouvements.

Le site de phishing lui-même était compétent. Le design s'accordait assez avec le style Web actuel d'Apple pour convaincre ceux qui ne prêtaient pas attention à l'adresse affichée dans la fenêtre du navigateur (du moins au début) qu'elle était légitime. En utilisant une API de géolocalisation gratuite, le kit a été en mesure de personnaliser le langage et d’autres aspects de la page de phishing pour chaque visiteur. Il a également procédé à la validation de la carte de crédit et vérifié des modèles de numéros pour identifier le type de carte utilisé, comme le fait le site Apple. Toutes les données personnelles collectées ont été envoyées directement à l'adresse Gmail de jOker: docteur [.] Joker [at] gmail.com. (J'ai contacté le médecin pour commenter cette histoire, mais il n'a pas encore répondu. J'ai également alerté Google.)

Les kits de phishing soigneusement élaborés ne sont qu'une partie de la course aux armements de phishing. Les exploitations qui permettent une analyse rapide et la compromission des sites vulnérables, ainsi que d’autres sources d’hébergement peu coûteuses ou gratuites, ainsi que de l’enregistrement de noms de domaine et de certificats SSL gratuits ou bon marché, facilitent la création de domaines et de sous-domaines de phishing qui semblent légitimes. au cadenas vert à côté de la fausse adresse Web. Ces choses rendent également les sites de phishing plus jetables. Certains phishs plus ciblés ont un cycle de vie de 48 heures ou moins.

Et au moment même où les organisations ont le sentiment de mieux contrôler l'hameçonnage en utilisant des mesures telles que la classification de domaine, le filtrage d'email ou la formation des utilisateurs, les attaques par hameçonnage se développent à nouveau. Beaucoup ciblent maintenant les personnes où leurs défenses sont les plus faibles: les appareils mobiles.

"Les gens sont simplement plus distraits lorsqu'ils utilisent leur appareil mobile et leur font davantage confiance", a déclaré Richards de Lookout. "Ils ne paient pas autant d'attention. Et vous avez plus de vecteurs de phishing: SMS, WhatsApp. Les gens ne sont pas formés, il s'agit également de vecteurs à risque."

Tout comme pour l'identification de l'appelant dans les appels automatisés et les appels frauduleux, la source des messages SMS est facilement anonymisée ou falsifiée. Et il n’existe actuellement aucun moyen de filtrer le courrier indésirable des messages SMS comme il en existe dans le courrier électronique.