Phishing-as-a-Service: What You Need To Know To Stay Cyber Safe
With new cyber-attacks making news headlines every week, it can feel like you’re swimming upstream trying to navigate the ever-changing cyber landscape. One of the newer forms of attack leverages Phishing-as-a-Service to steal credentials and take control of your accounts. Keep reading to learn more about this form of phishing and how to keep yourself safe.
What Is Phishing-As-A-Service?
Phishing-as-a-Service, like other as-a-service offerings, is a kit created by cybercriminals that has everything someone would need to run a successful phishing scam. This can include code, graphics, email templates and landing pages among other items needed.
A cybercriminal looking to run a phishing scam would simply need to purchase this kit and deploy it – all the heavy lifting has been done for them by the developer or group selling the service.
The Rise Of EvilProxy
In 2022, Resecurity discovered a new Phishing-as-a-Service called EvilProxy. The kits created by EvilProxy allow cybercriminals to target people who use Multi-Factor Authentication (MFA) to secure their accounts. Like Adversary-in-the-Middle or Man-in-the-Middle attacks, someone would follow a link to what they assume is a legitimate site, only to have it intercepted by the attacker. The attacker uses session cookies to login to the account you’re trying to get to and secretly harvests the information you enter into their fake landing page.
Another way EvilProxy attempts to scam people is by targeting the software developers of major brands. When targeting the developers, they send crafty phishing emails in an attempt to gain access to the software itself and insert malicious code. This way, they can then send the now-malicious software to unsuspecting people who inherently trust the major brand and their software.
In the early days of EvilProxy’s rise to notoriety, the group was connected to attacks against Google and Microsoft users who used MFA to protect their accounts. These attacks targeted people who used SMS or Application Tokens to secure their accounts. Despite EvilProxy being relatively new to the cybercrime scene, they clearly wanted to make a splash by going after large, reputable organizations. This trend has continued as the group has grown, with kits designed to target users of larger brands like Apple, Facebook and Dropbox.
EvilProxy isn’t shy to proclaim their success or explain how to use their phishing kits. Cybercriminals wishing to purchase and use the kits can do so on a subscription basis.
The rise of EvilProxy marks a noteworthy shift in the world of cybercrime and the unfortunate growth of threat actors exploiting Multi-Factor Authentication (MFA) mechanisms.
EvilProxy And Indeed
Cybercriminals recently used EvilProxy to conduct an attack targeting Microsoft 365 accounts by exploiting open redirects from the Indeed employment website.
Open redirects aren’t inherently bad, and many websites use them for login pages or for MFA.
The attackers targeted high-ranking employees from electronics, manufacturing, banking, finance and other industries through a weakness related to open redirects in the website code. This allowed them to create a redirection to a phishing landing page without raising any alarms.
Targets in the attack received a legitimate-looking link to an Indeed page. Because the attackers exploited a well-known company, people following the link inherently trusted that they were going to a legitimate login page.
The targets were sent to a fake Microsoft 365 login page, where they entered their details and completed MFA. The threat actors were able to capture the target’s credentials and the authentic cookies to hack the target’s account.
A spokesperson for Indeed has reported that no user data was improperly accessed.
How To Keep Yourself Safe From Phishing-As-A-Service Attacks
1. Visit the site directly. If you receive an email prompting you to follow a link to a well-known site, instead of following the link login directly through the website.
2. Use a password manager. The password manager can store the URL of the website you’re trying to connect to, so if you don’t get the prompt for the password manger to enter your password, you know you’re on the wrong site.
3. Be warry of MFA attacks. MFA is a useful and secure additional layer of security protecting your accounts that we recommend you use to protect yourself both at work and at home. Some steps you can take to increase the security of MFA include:
a. Reduce the amount of time between different methods of authentication (for example if an account is password protected and requires an MFA code for access).
b. Add additional factors of authentication like geolocation or biometric factors which are harder for cybercriminals to hack.
Phishing-as-a-Service attacks can have a substantial impact on your personal accounts, and an equally substantial impact on your work accounts. Knowing what to do when you encounter something phishy will help keep you cyber safe. If you’re ever usure, reach out to your organization’s security awareness team.
L’hameçonnage à la demande : ce qu’il faut savoir pour rester en sécurité sur Internet
De nouvelles cyberattaques font la une des journaux chaque semaine, ce qui peut donner l’impression épuisante de nager à contre-courant dans un monde en ligne en constante évolution. L’une des formes d’attaque les plus récentes reprend le modèle du logiciel à la demande avec pour seule fin celle de dérober vos identifiants et de prendre le contrôle de vos comptes. Poursuivez votre lecture pour découvrir cette forme de tentative d’hameçonnage et les manières de vous protéger.
En quoi consiste l’hameçonnage à la demande?
Tout comme d’autres offres de services, l’hameçonnage à la demande est une trousse créée par des cybercriminels qui contient tout le nécessaire pour mener à bien une arnaque par hameçonnage. Il peut s’agir d’éléments indispensables comme du code, des graphiques, des modèles de courriels et des pages d’accueil.
Un cybercriminel qui veut organiser une arnaque par hameçonnage n’a donc plus qu’à acheter cette trousse et à l’utiliser : le développeur ou le groupe qui vend le service lui a déjà mâché le travail.
La montée en puissance du service EvilProxy
En 2022, Resecurity a découvert un nouveau service d’hameçonnage à la demande du nom d’EvilProxy. Les trousses créées par EvilProxy permettent aux cybercriminels de cibler les personnes qui utilisent l’authentification multifactorielle (AMF) pour sécuriser leurs comptes. Comme dans le cas des attaques de type « Adversary-in-the-Middle » ou « Man-in-the-Middle », vous suivez un lien vers ce que vous supposez être un vrai site, mais le cybercriminel intercepte le lien. Le pirate utilise des témoins de session pour se connecter au compte auquel vous essayez d’accéder et récolte secrètement les renseignements que vous saisissez dans sa fausse page d’accueil.
EvilProxy tente également d’escroquer les gens en ciblant les développeurs de logiciels des grandes marques. Lorsqu’il s’attaque aux développeurs, il envoie des courriels d’hameçonnage astucieux pour tenter d’accéder au logiciel lui-même et d’y insérer un code malveillant. Il peut ainsi envoyer le logiciel malveillant à des personnes peu méfiantes qui font intrinsèquement confiance à la grande marque et à ses logiciels.
Le groupe EvilProxy a commencé à gagner en notoriété quand il a été associé à des attaques contre des utilisateurs de Google et de Microsoft qui utilisaient l’AMF pour protéger leurs comptes. Ces attaques visaient les personnes qui utilisaient des SMS ou des jetons d’application pour sécuriser leurs comptes. Bien qu’EvilProxy soit relativement nouveau sur la scène de la cybercriminalité, il est clair que le groupe voulait faire parler de lui en s’attaquant à de grandes organisations réputées. Cette tendance s’est poursuivie avec l’élargissement des activités du groupe, qui propose désormais des trousses conçues pour cibler les utilisateurs de grandes marques telles qu’Apple, Facebook et Dropbox.
EvilProxy n’hésite pas à crier haut et fort son succès ou à expliquer comment utiliser ses trousses d’hameçonnage. Les cybercriminels qui souhaitent les acheter et les utiliser peuvent tout simplement souscrire un abonnement.
La montée en puissance d’EvilProxy marque un changement notable dans le monde de la cybercriminalité et, malheureusement, l’augmentation du nombre de cybercriminels qui exploitent les mécanismes de l’authentification multifactorielle (AMF).
EvilProxy et Indeed
Des cybercriminels ont récemment utilisé EvilProxy pour mener une attaque visant les comptes Microsoft 365 en exploitant les failles de la redirection ouverte à partir du site d’emploi Indeed.
Les redirections ouvertes ne sont pas mauvaises en soi, et de nombreux sites web les utilisent pour les pages de connexion ou pour l’AMF.
Les attaquants ont ciblé des employés de haut rang des secteurs de l’électronique, de la fabrication, de la banque, de la finance et d’autres industries grâce à une faille liée à des redirections ouvertes dans le code du site web. Cela leur a permis de créer une redirection vers une page d’accueil d’hameçonnage sans soulever de soupçons.
Les cibles de l’attaque ont reçu un lien qui avait l’air vrai vers une page Indeed. Comme les personnes menant l’attaque se sont appuyées sur une entreprise bien connue, les personnes qui suivaient le lien étaient convaincues de se rendre sur une page de connexion officielle.
Au lieu de ça, les cibles de l’attaque ont atterri sur une fausse page de connexion à Microsoft 365, où elles ont saisi leurs identifiants et procédé aux étapes de l’AMF. Les cybercriminels ont pu s’emparer des identifiants et de vrais témoins leur permettant de pirater le compte de leurs cibles.
Un porte-parole d’Indeed a indiqué qu’aucune donnée d’utilisateur n’avait été consultée à mauvais escient.
Comment se protéger des attaques de type hameçonnage à la demande
1. Allez directement sur le site. Si vous recevez un courriel vous invitant à suivre un lien vers un site connu, au lieu de suivre le lien, connectez-vous directement au site web.
2. Utilisez un gestionnaire de mot de passe. Le gestionnaire de mots de passe peut enregistrer l’URL du site web auquel vous essayez de vous connecter. Ainsi, si le gestionnaire de mots de passe ne vous invite pas à saisir votre mot de passe, vous savez que vous n’êtes pas sur le bon site.
3. Méfiez-vous des attaques qui exploitent l’AMF. L’AFM est une couche de sécurité supplémentaire utile et sûre qui protège vos comptes et que nous vous recommandons d’utiliser au travail et chez vous. Voici quelques mesures que vous pouvez prendre pour renforcer la sécurité de l’AMF :
a. Réduisez le délai entre les différentes méthodes d’authentification (par exemple, si un compte est protégé par un mot de passe et qu’il faut un code d’AMF pour y accéder).
b. Ajoutez des facteurs d’authentification supplémentaires tels que la géolocalisation ou des facteurs biométriques qui sont plus difficiles à pirater pour les cybercriminels.
Les attaques de type hameçonnage à la demande peuvent avoir un impact considérable sur vos comptes personnels et des répercussions tout aussi considérables sur vos comptes professionnels. Savoir ce qu’il faut faire en cas de tentative d’hameçonnage vous permettra de rester en sécurité en ligne. En cas de doute, adressez-vous à l’équipe de sensibilisation à la sécurité de votre organisation.
Phishing como servicio: Lo que debe saber para mantenerse ciberseguro
Dado que aparecen nuevos ciberataques en los titulares de las noticias cada semana, podría parecer que uno está nadando contracorriente al navegar por el mundo cibernético, que está en constante cambio. Una de las nuevas formas de ataque explota el phishing como servicio para robar credenciales y tomar el control de sus cuentas. Siga leyendo para saber más sobre esta forma de phishing y cómo mantenerse a salvo.
¿Qué es el phishing como servicio?
El phishing como servicio, al igual que otras ofertas como servicio, es un kit creado por ciberdelincuentes que contiene todo lo necesario para llevar a cabo con éxito una estafa de phishing. Esto puede incluir código, gráficos, plantillas de correo electrónico y páginas de destino, entre otros elementos necesarios.
Un ciberdelincuente que quiera llevar a cabo una estafa de phishing sólo tendría que comprar este kit y desplegarlo: el desarrollador o el grupo que vende el servicio ya ha hecho todo el trabajo pesado.
El ascenso de EvilProxy
En 2022, Resecurity descubrió una nueva plataforma de phishing como servicio llamado EvilProxy. Los kits creados por EvilProxy permiten a los ciberdelincuentes atacar a personas que utilizan la autenticación multifactor (MFA) para proteger sus cuentas. Al igual que los ataques por intermediarios (Adversary-in-the-Middle o Man-in-the-Middle), alguien seguiría un enlace a lo que supone que es un sitio legítimo, sólo para que sea interceptado por el atacante. El atacante utiliza cookies para iniciar sesión en la cuenta a la que se intenta acceder y recopila en secreto la información introducida en su página de destino falsa.
Otra forma en que EvilProxy intenta estafar es enfocándose en los desarrolladores de software de las grandes marcas. Al ir por los desarrolladores, envían correos electrónicos de phishing engañosos en un intento de acceder al propio software e insertar código malicioso. De este modo, pueden enviar el software, ahora con código malicioso, a personas desprevenidas que confían intrínsecamente en la marca y en su software.
En los primeros días del ascenso a la notoriedad de EvilProxy, el grupo estuvo relacionado con ataques contra usuarios de Google y Microsoft que utilizaban MFA para proteger sus cuentas. Estos ataques iban dirigidos a personas que utilizaban SMS o identificadores (tokens) de aplicación para proteger sus cuentas. A pesar de que EvilProxy es relativamente nuevo en la escena de la ciberdelincuencia, no hay duda de que sus creadores querían provocar un escándalo al atacar organizaciones grandes y de renombre. Esta tendencia ha continuado a medida que el grupo ha ido creciendo, con kits diseñados para atacar usuarios de grandes marcas como Apple, Facebook y Dropbox.
EvilProxy no titubea a la hora de proclamar su éxito o explicar cómo utilizar sus kits de phishing. Los ciberdelincuentes que deseen adquirir y utilizar los kits pueden hacerlo mediante suscripciones.
El surgimiento de EvilProxy marca un cambio notable en el mundo de la ciberdelincuencia con el desafortunado crecimiento de los actores de amenazas que explotan los mecanismos de autenticación multifactor (MFA).
EvilProxy e Indeed
Los ciberdelincuentes recientemente usaron EvilProxy para llevar a cabo un ataque dirigido a cuentas de Microsoft 365 aprovechando los redireccionamientos abiertos desde el sitio web de empleo Indeed.
Los redireccionamientos abiertos no son intrínsecamente malos, y muchos sitios web los utilizan para páginas de inicio de sesión o para MFA.
Los atacantes se concentraron en empleados de alto rango de los sectores de la electrónica, la fabricación, la banca, las finanzas y otras industrias a través de una debilidad relacionada con los redireccionamientos abiertos en el código del sitio web. Esto les permitió crear una redirección a una página de destino de phishing sin que sonaran las alarmas.
Los blancos del ataque recibían un enlace aparentemente legítimo a una página de Indeed. Dado que los atacantes se aprovecharon de una empresa muy conocida, las personas que seguían el enlace confiaban intrínsecamente en que se dirigían a una página de sesión legítima.
Los blancos eran enviados a una página de sesión falsa de Microsoft 365, donde ingresaban sus datos y completaban la MFA. Los actores de la amenaza pudieron capturar las credenciales del blanco y las cookies auténticas para piratear su cuenta.
Un portavoz de Indeed ha informado que no se accedió indebidamente a los datos de ningún usuario.
Cómo protegerse de los ataques de phishing como servicio
1. Visite directamente el sitio. Si recibe un correo electrónico en el que se le pide que siga un enlace a un sitio conocido, en lugar de seguir el enlace inicie sesión directamente a través del sitio web.
2. Use un gestor de contraseñas. El gestor de contraseñas puede almacenar la URL del sitio web al que usted intenta acceder, de modo que si no recibe el aviso del gestor de contraseñas para ingresar la contraseña, puede usted estar seguro de que está en el sitio equivocado.
3. Tenga cuidado con los ataques MFA. MFA es una capa adicional de seguridad útil y segura para proteger sus cuentas que nosotros le recomendamos utilizar para protegerse tanto en el trabajo como en casa. Algunas medidas que puede tomar para aumentar la seguridad de MFA incluyen:
a. Reduzca el tiempo que transcurre entre los distintos métodos de autenticación (por ejemplo, si una cuenta está protegida por contraseña y requiere un código MFA para acceder a ella).
b. Añada factores adicionales de autenticación, como la geolocalización o factores biométricos, que son más difíciles de piratear para los ciberdelincuentes.
Los ataques de phishing como servicio pueden tener un impacto sustancial en sus cuentas personales, y un impacto igualmente sustancial en sus cuentas de trabajo. Saber qué hacer cuando se encuentra con algo sospechoso le ayudará a mantenerse ciberseguro. Si alguna vez tiene dudas, póngase en contacto con el equipo de concienciación sobre seguridad de su organización.