Partie 1 : La campagne d'escroquerie des employés de Cloudflare
Des chercheurs en cybersécurité ont mis en garde contre plusieurs campagnes d'hameçonnage exploitant Cloudflare Workers pour collecter les identifiants de connexion des utilisateurs. Ces sites web frauduleux ciblent les utilisateurs de services tels que Microsoft, Gmail, Yahoo! et cPanel Webmail.
Ici, l'attaquant a utilisé une technique appelée « attaque du milieu » (AitM). Pour mener à bien l'attaque, il a utilisé Cloudflare Workers comme faux serveur intermédiaire. Lorsqu'un utilisateur accédait à une page de connexion légitime, Cloudflare Workers interceptait et relayait les données entre l'utilisateur et la véritable page de connexion.
Ce type d'attaque se déroulera essentiellement en quatre étapes :
- Étape 1 : Le pirate envoie des courriels d'hameçonnage à l'utilisateur.
Les pirates envoient des courriels d'hameçonnage contenant des liens vers de faux sites web. Ces courriels peuvent être usurpés et provenir d'une source fiable ; ils contiennent des messages incitant les utilisateurs à cliquer sur le lien.
- Étape 2 : L’utilisateur clique sur le lien dans l’e-mail et est redirigé vers un site web d’hameçonnage qui passe par Cloudflare.
Les utilisateurs reçoivent des courriels et cliquent sur les liens qu'ils contiennent, ce qui les redirige vers un faux site web. Ce site étant hébergé sur Cloudflare Workers, les requêtes des utilisateurs transitent par ce service.
- Étape 3 : Cloudflare transfère la requête de l’utilisateur au site Web légitime.
Lorsqu'un utilisateur saisit ses identifiants sur un faux site web, Cloudflare Workers enregistre ces informations (nom d'utilisateur, mot de passe et code d'authentification à deux facteurs, le cas échéant). Cloudflare Workers transmet ensuite cette requête au site web légitime. Les utilisateurs peuvent ainsi se connecter au site légitime sans remarquer la moindre différence.
- Étape 4 : Cloudflare enregistre les informations de l’utilisateur et les envoie au pirate informatique.
Cloudflare Workers enregistre les informations de connexion des utilisateurs et les transmet à un attaquant. Ce dernier peut alors utiliser ces informations pour accéder au compte de l'utilisateur et commettre des actes malveillants.
Partie 2 : Techniques de contrebande HTML et stratégies de collecte d’informations de connexion
L'injection de code HTML est une méthode d'attaque sophistiquée utilisée par les pirates pour créer furtivement des pages d'hameçonnage directement dans le navigateur de l'utilisateur.
L'attaque par contrebande HTML se déroule essentiellement en cinq étapes principales :
- Étape 1 : L'attaquant envoie un courriel d'hameçonnage.
L'attaquant crée un courriel d'hameçonnage en usurpant l'identité d'une source fiable, comme une organisation ou un service fréquemment utilisé par la victime. Ce courriel contient un lien malveillant ou une pièce jointe HTML. Son contenu inclut souvent un message persuasif ou urgent destiné à inciter la victime à ouvrir le lien ou la pièce jointe, par exemple une notification concernant un compte bloqué ou un document important nécessitant une attention immédiate.
- Étape 2 : L’utilisateur reçoit le courriel et ouvre le lien/la pièce jointe.
Les utilisateurs reçoivent des courriels d'hameçonnage et, sans se méfier, cliquent sur le lien ou ouvrent la pièce jointe HTML. Leur navigateur charge alors et exécute le code JavaScript malveillant contenu dans le fichier HTML ou le lien. Ce code est conçu pour s'exécuter directement dans le navigateur de l'utilisateur, sans nécessiter de téléchargement de logiciel supplémentaire.
- Étape 3 : Un code JavaScript crée directement la page d’hameçonnage dans le navigateur de l’utilisateur.
Un code JavaScript malveillant génère automatiquement une page d'hameçonnage et l'affiche dans le navigateur de l'utilisateur. Cette page ressemble souvent beaucoup à la page de connexion légitime d'un service en ligne comme Microsoft, Gmail ou tout autre service que la victime utilise régulièrement. Ainsi, la victime ne se rend pas compte qu'elle se trouve sur une fausse page.
- Étape 4 : L’utilisateur saisit ses informations de connexion sur la page d’hameçonnage.
Les utilisateurs saisissent indubitablement leurs informations de connexion sur le site d'hameçonnage. Il s'agit notamment de leurs identifiants, mots de passe et, le cas échéant, des codes d'authentification à deux facteurs (MFA). Le site d'hameçonnage est conçu pour enregistrer secrètement toutes ces informations.
- Étape 5 : Les informations de connexion sont envoyées au serveur du pirate informatique.
Lorsqu'un utilisateur saisit ses identifiants sur un site d'hameçonnage, un code JavaScript malveillant envoie ces informations au serveur du pirate. Ce dernier peut ainsi récupérer les identifiants de connexion de la victime, notamment son nom d'utilisateur, son mot de passe et le code d'authentification à deux facteurs. Grâce à ces informations, le pirate peut accéder sans autorisation au compte de la victime.
Partie 3 : Recommandations aux utilisateurs concernant les mesures préventives
Pour se protéger contre les méthodes de cyberattaques de plus en plus sophistiquées mentionnées ci-dessus, les utilisateurs doivent prendre plusieurs mesures préventives afin de minimiser les risques. Voici quelques recommandations importantes :
- Sensibiliser le public à la cybersécurité
Dans l'environnement numérique actuel, les méthodes de cyberattaque évoluent et se sophistiquent sans cesse. Il est donc primordial de se tenir régulièrement informé des dernières menaces en matière de cybersécurité. Les utilisateurs doivent consulter des sources d'information fiables et à jour afin de comprendre les risques et de savoir comment s'en prémunir.
- Utilisation de l'authentification à deux facteurs (2FA) :
L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire. Même si un pirate informatique obtient vos identifiants de connexion, il lui faudra un deuxième code de vérification pour accéder à votre compte.
- Toujours vérifier et contrôler avant d'agir.
Veuillez vérifier attentivement toutes les pièces jointes et tous les liens avant de cliquer.
RÉFLÉCHISSEZ BIEN AVANT DE CLIQUER AVEC LA SOURIS !!!
- Utilisez un logiciel antivirus.
Un logiciel antivirus est capable d'analyser et de détecter différents types de logiciels malveillants, tels que les virus, les chevaux de Troie, les rançongiciels, les logiciels espions et autres menaces. Dès qu'il en détecte un, il le supprime ou l'isole afin de protéger votre système.
À l'ère du numérique, les méthodes de cyberattaque sont de plus en plus sophistiquées et difficiles à détecter. Il est crucial de comprendre et de prévenir les campagnes d'hameçonnage utilisant Cloudflare Workers et le smuggling HTML. Pour se protéger, les utilisateurs doivent régulièrement mettre à jour leurs connaissances en cybersécurité, utiliser un gestionnaire de mots de passe, installer un antivirus et activer l'authentification à deux facteurs. Ces mesures contribuent non seulement à protéger les informations personnelles, mais aussi à renforcer la cybersécurité de l'ensemble de la communauté.
— Élaboré par le Comité de la sécurité et de l'ordre —
Source : https://www.misa.vn/147167/giai-ma-cac-chien-thuat-tan-cong-phishing-hien-dai-tu-cloudflare-workers-den-html-smuggling/
![[Photo] Réception organisée en l'honneur du secrétaire général et président To Lam et de son épouse lors de leur visite d'État aux Philippines](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/01/1780295488620_vna-potal-chieu-dai-chao-mung-tong-bi-thu-chu-tich-nuoc-to-lam-va-phu-nhan-tham-cap-nha-nuoc-toi-philippines-8798060-7855-jpg.webp)
Comment (0)