Partie 1 : Campagne de phishing utilisant Cloudflare Workers

Les chercheurs en cybersécurité ont mis en garde contre plusieurs campagnes de phishing qui exploitent Cloudflare Workers pour collecter les informations d'identification des utilisateurs. Ces sites de phishing ciblent les utilisateurs de services tels que Microsoft, Gmail, Yahoo! et cPanel Webmail.

Ici, l’attaquant a utilisé une technique appelée « Adversaire du milieu » ( AitM ). Pour mener l’attaque, l’attaquant utilise Cloudflare Workers comme faux serveur intermédiaire. Lorsqu'un utilisateur visite une page de connexion légitime, Cloudflare Workers intercepte et transmet les données entre l'utilisateur et la véritable page de connexion.

Fondamentalement, cette attaque se déroulera selon les 4 étapes suivantes :

• Étape 1 : Le pirate envoie un e-mail de phishing à l'utilisateur

Les attaquants envoient des e-mails de phishing contenant des liens vers de faux sites Web. Cet e-mail peut se faire passer pour une source fiable et contenir un message qui persuade l'utilisateur de cliquer sur un lien.

• Étape 2 : l'utilisateur clique sur l'e-mail et est redirigé vers un site Web de phishing via Cloudflare

L'utilisateur reçoit l'e-mail et clique sur le lien dans l'e-mail, ce qui le dirige vers un faux site Web. Ce site est hébergé sur Cloudflare Workers, les demandes des utilisateurs passent donc par Cloudflare Workers.

• Étape 3 : Cloudflare transmet la demande de l’utilisateur au site Web légitime

Lorsqu'un utilisateur saisit ses informations de connexion sur le faux site, Cloudflare Workers capture les informations de connexion (y compris le nom d'utilisateur, le mot de passe et le code d'authentification à deux facteurs, le cas échéant). Les employés de Cloudflare transmettent ensuite cette demande au site Web légitime. Les utilisateurs peuvent toujours se connecter au site Web légitime sans remarquer la différence.

• Étape 4 : Cloudflare enregistre les informations des utilisateurs et les envoie aux pirates informatiques

Les travailleurs de Cloudflare enregistrent les informations de connexion des utilisateurs et les envoient à l'attaquant. L'attaquant peut ensuite utiliser ces informations pour accéder au compte de l'utilisateur et effectuer des actions malveillantes.

Partie 2 : Techniques de contrebande HTML et stratégies de collecte d'informations d'identification

HTML Smuggling est une méthode d'attaque sophistiquée que les attaquants utilisent pour créer furtivement des pages frauduleuses directement sur le navigateur de l'utilisateur.

Fondamentalement, une attaque de contrebande HTML se déroule en 5 étapes principales :

• Étape 1 : L'attaquant envoie un e-mail de phishing

L'attaquant crée un e-mail de phishing, prétendant provenir d'une source fiable, telle qu'une organisation ou un service que la victime utilise régulièrement. Cet e-mail contient un lien malveillant ou une pièce jointe HTML. Le contenu du courrier électronique comprend souvent un message convaincant ou urgent destiné à inciter la victime à ouvrir un lien ou une pièce jointe, comme une notification concernant un compte verrouillé ou un document important qui doit être consulté immédiatement.

• Étape 2 : L'utilisateur reçoit un e-mail et ouvre le lien/la pièce jointe

L'utilisateur reçoit un e-mail de phishing et, sans méfiance, clique sur un lien ou ouvre une pièce jointe HTML. Ce faisant, le navigateur de l’utilisateur chargera et exécutera du code JavaScript malveillant contenu dans le fichier HTML ou le lien. Ce code est conçu pour fonctionner directement dans le navigateur de l'utilisateur sans qu'il soit nécessaire de télécharger un logiciel supplémentaire.

• Étape 3 : le code JavaScript crée une page de phishing directement sur le navigateur de l'utilisateur

Un code JavaScript malveillant génère automatiquement une page de phishing et l'affiche sur le navigateur de l'utilisateur. Cette page de phishing ressemble souvent beaucoup à la page de connexion légitime d'un service en ligne comme Microsoft, Gmail ou tout autre service que la victime utilise couramment. Cela permet à la victime de ne pas se rendre compte qu’elle se trouve sur un faux site.

• Étape 4 : L'utilisateur saisit ses informations de connexion sur le site de phishing

Sans se douter de rien, l’utilisateur saisit ses identifiants de connexion sur le site de phishing. Cela inclut votre nom d'utilisateur, votre mot de passe et éventuellement un code d'authentification à deux facteurs (MFA) si nécessaire. Le site frauduleux est conçu pour enregistrer toutes ces informations en secret.

• Étape 5 : Les informations de connexion sont envoyées au serveur du pirate

Lorsque l'utilisateur saisit ses informations de connexion sur la page de phishing, le code JavaScript malveillant envoie ces informations au serveur du pirate. Cela permet à l'attaquant de collecter les informations de connexion de la victime, notamment le nom d'utilisateur, le mot de passe et le code d'authentification à deux facteurs. Grâce à ces informations, l’attaquant peut obtenir un accès non autorisé au compte de la victime.

Partie 3 : Recommandations aux utilisateurs sur les précautions à prendre

Pour se protéger des cyberattaques de plus en plus sophistiquées mentionnées ci-dessus, les utilisateurs doivent prendre certaines précautions pour minimiser les risques. Voici quelques recommandations importantes :

• Sensibilisation à la cybersécurité

Dans l’environnement numérique actuel, les méthodes de cyberattaque évoluent constamment et deviennent de plus en plus sophistiquées. Il est donc extrêmement important de mettre à jour régulièrement ses connaissances sur les dernières menaces en matière de cybersécurité. Les utilisateurs doivent surveiller de manière proactive les sources d’information fiables et mises à jour pour comprendre les risques et savoir comment les prévenir.

• Utiliser l'authentification à deux facteurs (2FA) :

L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire. Même si un attaquant obtient vos informations de connexion, il aura toujours besoin d'un deuxième code d'authentification pour accéder à votre compte.

• Vérifiez et vérifiez toujours avant d'agir

Vérifiez toutes les pièces jointes et tous les liens avant de cliquer.

RÉFLÉCHISSEZ BIEN AVANT DE CLIQUER !!!

• Utiliser un logiciel antivirus

Les logiciels antivirus sont capables d'analyser et de détecter divers types de logiciels malveillants tels que les virus, les chevaux de Troie, les rançongiciels, les logiciels espions et autres menaces. Lors de la détection, il supprime ou met en quarantaine le logiciel malveillant pour protéger votre système.

À l’ère du numérique, les cyberattaques deviennent de plus en plus sophistiquées et difficiles à détecter. Il est important de comprendre et de se protéger contre les campagnes de phishing qui utilisent Cloudflare Workers et HTML Smuggling. Pour se protéger, les utilisateurs doivent régulièrement mettre à jour leurs connaissances en matière de cybersécurité, utiliser un gestionnaire de mots de passe, installer un logiciel antivirus et appliquer l’authentification à deux facteurs. Ces mesures contribuent non seulement à protéger les renseignements personnels, mais également à améliorer la cybersécurité pour l’ensemble de la communauté.

— Département de la sécurité générale —