Découvrez la méthode dattaque de phishing Adversary-in-the-Middle

Les attaques de phishing sont extrêmement courantes à l’heure actuelle. Cette méthode des cybercriminels peut être très efficace pour voler des données et ne nécessite pas beaucoup de travail au niveau local. Cependant, le phishing se présente également sous de nombreuses formes, parmi lesquelles les attaques de phishing Adversary-in-the-Middle. Alors, que sont les attaques de phishing Adversary-in-the-Middle ? Et comment pouvez-vous les éviter ?

Qu'est-ce qu'une attaque d'adversaire au milieu ?

Une attaque de phishing Adversary-in-the-Middle (AiTM) implique le détournement de cookies de session pour voler des données personnelles et même contourner les couches d'authentification.

Vous avez peut-être déjà entendu parler des cookies . Aujourd'hui, la plupart des sites Web sur lesquels vous cliquez vous demanderont votre consentement pour utiliser des cookies afin de mieux personnaliser votre expérience en ligne. En bref, les cookies suivent votre activité en ligne pour comprendre vos habitudes. Il s'agit de petits fichiers texte contenant des données qui peuvent être envoyés à votre serveur chaque fois que vous cliquez sur un nouveau site Web, donnant ainsi à certaines parties la possibilité de surveiller votre activité.

Il existe de nombreux types de cookies. Certaines sont nécessaires, d’autres ne le sont tout simplement pas. Les attaques AiTM impliquent des cookies de session. Il s'agit de cookies temporaires qui stockent les données de l'utilisateur pendant une session Web. Ces cookies sont immédiatement perdus une fois que vous fermez votre navigateur.

Comme cela se produit habituellement en cas de phishing, une attaque de phishing AiTM commence par la communication du cybercriminel avec la cible, généralement par courrier électronique. Ces escroqueries utilisent également des sites Web malveillants pour voler des données.

Les attaques AiTM constituent un problème particulièrement urgent pour les utilisateurs de Microsoft 365, les attaquants contactant les cibles et leur demandant de se connecter à leurs comptes 365. L'acteur malveillant usurpera l'identité d'une adresse officielle de Microsoft dans cette attaque de phishing, qui est également courante dans les attaques de phishing.

L'objectif ici n'est pas seulement de voler les informations de connexion, mais de contourner la couche d'authentification multifacteur (MFA) ou d'authentification à deux facteurs (2FA) de la victime . Il s'agit de fonctionnalités de sécurité utilisées pour vérifier les connexions au compte en demandant l'autorisation à partir d'un appareil ou d'un compte distinct, tel que votre smartphone ou votre courrier électronique.

Les cybercriminels utiliseront également des serveurs proxy pour communiquer avec Microsoft et hébergeront de fausses pages de connexion 365. Ce proxy permet aux attaquants de voler les cookies de session et les informations d'identification de la victime. Lorsque les victimes saisissent leurs informations d'identification sur le site Web malveillant, celui-ci vole le cookie de session pour fournir une fausse authentification. Cela donne aux attaquants la possibilité de contourner les exigences 2FA ou MFA des victimes, leur donnant ainsi un accès direct à leurs comptes.

Comment se protéger contre les attaques de phishing AiTM

Bien que l’attaque de phishing AiTM soit différente d’une attaque de phishing classique, vous pouvez toujours appliquer des méthodes similaires pour l’empêcher.

Commençons par tous les liens fournis dans votre e-mail. Si vous recevez un e-mail d'un expéditeur considéré comme digne de confiance vous indiquant que vous devez utiliser le lien fourni pour vous connecter à l'un de vos comptes en ligne, soyez prudent. Il s'agit d'une tactique de phishing classique qui peut piéger de nombreuses victimes, surtout si l'attaquant utilise un langage persuasif ou urgent invitant la cible à se connecter à son compte le plus rapidement possible.

Donc, si vous recevez un e-mail contenant tout type de lien, assurez-vous de l'exécuter via un site de test de liens avant de cliquer. Mieux encore, si l'e-mail indique que vous devez vous connecter à votre compte, recherchez simplement la page de connexion dans votre navigateur et accédez-y à votre compte. De cette façon, vous pouvez voir s'il y a des problèmes que vous devez résoudre sur votre compte sans cliquer sur aucun type de lien fourni.

Vous devez également éviter d’ouvrir les pièces jointes qui vous sont envoyées depuis une adresse inconnue, même si l’expéditeur prétend être une personne digne de confiance. Les pièces jointes malveillantes peuvent également être utilisées dans les attaques de phishing AiTM, vous devez donc vous méfier de ce que vous ouvrez.

En bref, si vous n’avez vraiment pas besoin d’ouvrir la pièce jointe, laissez-la là.

En revanche, si vous devez ouvrir une pièce jointe, effectuez quelques tests rapides avant de le faire. Vous devez examiner le type de fichier de la pièce jointe pour déterminer si elle est considérée comme suspecte. Par exemple, les fichiers .pdf , .doc , zip et .xls sont connus pour être utilisés dans des pièces jointes malveillantes, alors méfiez-vous si la pièce jointe appartient à l'un de ces types de fichiers.

Surtout, vérifiez le contexte de l’email. Si l'expéditeur prétend que la pièce jointe contient un document, tel qu'un relevé bancaire, mais que le fichier a une extension .mp3, vous pouvez avoir affaire à une pièce jointe de phishing et potentiellement dangereuse, car le fichier MP3 ne sera pas utilisé à des fins de documentation.

N'oubliez pas de vérifier l'extension du fichier

Vérifiez l'adresse de l'expéditeur de tous les e-mails suspects que vous recevez. Bien entendu, chaque adresse e-mail est unique, un attaquant ne peut donc pas utiliser l’adresse e-mail officielle de votre entreprise pour vous contacter, à moins qu’elle n’ait été piratée. Dans le cas du phishing, les attaquants utilisent souvent des adresses e-mail qui ressemblent quelque peu à l'adresse officielle de l'organisation.

Par exemple, si vous recevez un e-mail d'une personne prétendant être Microsoft, mais que vous remarquez que l'adresse indique « micr0s0ft » au lieu de « Microsoft », vous êtes victime d'une escroquerie par hameçonnage. Les criminels ajouteront également une lettre ou un chiffre supplémentaire à l’adresse e-mail afin qu’elle ressemble beaucoup à une adresse légitime.

Vous pouvez même déterminer si un lien est suspect ou non en l'examinant. Les sites Web malveillants contiennent souvent des liens qui semblent inhabituels. Par exemple, si un e-mail indique que le lien fourni vous mènera à la page de connexion de Microsoft, mais que l'URL indique qu'il s'agit d'un site Web complètement différent, il s'agit clairement d'une arnaque. Vérifier le domaine d'un site Web peut être particulièrement utile pour prévenir le phishing .

Enfin, si vous recevez un e-mail provenant d’une source prétendument officielle et truffé de fautes d’orthographe et de grammaire, vous pourriez être victime d’une arnaque. Les entreprises officielles veillent généralement à ce que leurs e-mails soient rédigés correctement, tandis que les cybercriminels peuvent parfois se montrer négligents à cet égard. Donc, si l’e-mail que vous recevez est mal rédigé, soyez prudent quant aux mesures que vous prendrez ensuite.

Le phishing est très populaire et est utilisé pour cibler à la fois les individus et les organisations, ce qui signifie que personne n'est vraiment à l'abri de cette menace. Ainsi, pour éviter les attaques de phishing et les escroqueries AiTM en général, tenez compte des conseils fournis ci-dessus pour protéger vos données.