Avec la popularité croissante des plateformes cloud telles qu’Azure, AWS, GCP et d’autres fournisseurs de services ‘en nuage’, les cybercriminels cherchent de plus en plus à exploiter ces environnements pour mener des attaques de phishing sophistiquées.
Le phishing (hameçonnage en français), technique d’ingénierie sociale, consiste à tromper les utilisateurs pour obtenir des informations sensibles telles que les identifiants de connexion, des informations financières ou des informations personnelles.
Dans cet article, nous explorerons certaines des techniques de phishing qui peuvent être utilisées au travers des plateformes cloud, mettant ainsi en évidence les risques et les mesures préventives à prendre.
Le « device code phishing » sur Azure
Principe
Azure, la plateforme cloud de Microsoft, est la cible d’une technique de phishing connue sous le nom de « device code phishing ». Cette méthode exploite le processus d’autorisation OAuth2, utilisé pour permettre l’accès à des ressources IoT dans Azure (ex : Smart TV, imprimantes, ..).
Les attaquants créent des campagnes de phishing invitant des cibles à se rendre sur une page qui leur demande de saisir leur « device code ». Lorsque les utilisateurs finalisent le processus en indiquant le device code fourni par l’attaquant, ils se connectent quasiment instantanément à leur compte Microsoft si celui-ci est mémorisé.
Page invitant à saisir le device code
Les attaquants peuvent utiliser des techniques assez classiques pour inciter l’utilisateur à saisir le code. Si la cible se réfère au lien pour considérer que le mail est légitime, elle est susceptible de se faire piéger car le lien est un lien microsoftonline.com et semble tout à fait légitime.
Exemple de mail de phishing associé au device code phishing
Les attaquants peuvent récupérer des jetons d’accès et les utiliser pour accéder aux ressources Microsoft de la victime. Par exemple, ils peuvent énumérer les utilisateurs du domaine entreprise associé, récupérer les conversations Teams ou encore envoyer des mails au nom de la victime.
Workflow d’authentification Azure Device Code
Remediation
Pour prévenir au mieux le « device code phishing », il est essentiel de suivre les bonnes pratiques de sécurité, telles que :
- Utiliser les accès conditionnels Azure. La connexion étant initiée depuis la localisation de l’attaquant, cela permet de bloquer les connexions initiées depuis des zones géographiques suspectes.
- Sensibiliser les utilisateurs contre les risques liés aux phishing et à ce type d’attaque
- En cas de compromission avérée, révoquer les jetons d’accès (access_token et refresh_token)
La création de pages de phishing sur les buckets AWS
Principe
AWS (Amazon Web Services) est une autre plateforme cloud couramment utilisée qui peut être exploitée par les cybercriminels pour le phishing. Les « buckets » S3 d’AWS, qui permettent de stocker des fichiers et des données, peuvent être utilisés pour héberger des pages de phishing.
Les attaquants créent des pages web similaires à celles des sites légitimes, telles que les pages de connexion d’AWS, et les hébergent sur des buckets S3 contrôlés ou usurpés (via des attaques de subdomain takeover par exemple). En envoyant des e-mails ou des liens frauduleux aux utilisateurs, les attaquants les dirigent vers ces pages où ils saisissent leurs identifiants, qui sont ensuite récupérés par les attaquants.
Les buckets sont accessibles avec une URL du type :
https://<nom>.s3.eu-north-1.amazonaws.com/’
Ce format donne l’impression d’une page de confiance car il utilise le domaine d’Amazon.
Exemple de fausse page d’authentification Azure sur un bucket AWS
En journalisant les requêtes, il est possible de récupérer les informations rentrées par les utilisateurs s’étant fait piégés.
Récupération des identifiants
Remediation
Pour se protéger contre la création de pages de phishing sur les buckets AWS, voici quelques mesures à prendre :
- Utilisez des solutions de filtrage d’e-mails pour bloquer les e-mails de phishing avant qu’ils n’atteignent votre boîte de réception.
- Évitez de cliquer sur des liens douteux ou de télécharger des pièces jointes provenant d’expéditeurs inconnus.
- Se méfier des URL sous forme de bucket (ex : https://<xxxxx>.s3.<region>.amazonaws.com) contenant des pages d’authentification
- Lorsque disponible, signaler les pages frauduleuses aux différents provider
- Exemple pour AWS : https://support.aws.amazon.com/#/contacts/report-abuse
- Sensibiliser les utilisateurs contre les risques liés aux phishing et à ce type d’attaque
Notifications de stockage
Principe
Le phishing par notification de stockage Drive est une tactique malveillante utilisée par les cybercriminels pour tromper les utilisateurs en leur faisant croire qu’ils ont atteint la limite de stockage de leur service de stockage en ligne (ex : Google Drive, iCloud, OneDrive, ..).
Les escrocs envoient généralement un e-mail prétendant que l’espace de stockage de l’utilisateur est plein et qu’il doit cliquer sur un lien fourni pour libérer de l’espace. Cependant, ce lien redirige généralement l’utilisateur vers un faux site web qui ressemble à la page de connexion légitime du service de stockage, mais qui est en réalité contrôlé par les acteurs malveillants. Lorsque l’utilisateur saisit ses identifiants sur ce faux site, ceux-ci sont récupérés et utilisés par les criminels pour accéder au compte de la victime, compromettant ainsi plusieurs données sensibles. Il est essentiel de rester vigilant et de ne jamais divulguer d’informations d’identification personnelles en réponse à de telles notifications suspectes pour éviter d’être victime de ce type d’attaque.
Exemple de phishing par notification de stockage sur Apple iCloud
Remediation
Pour vous protéger contre le phishing par notification de stockage Drive et d’autres types de phishing, voici quelques mesures de sécurité importantes à prendre :
- Examiner attentivement toute notification inattendue, notamment celles concernant l’espace de stockage en ligne, pour éviter de cliquer sur des liens ou de divulguer des informations sensibles.
- Toujours vérifier l’adresse e-mail de l’expéditeur et se méfier des e-mails provenant d’adresses inconnues ou suspectes.
- Vérifier le domaine de l’URL pour s’assurer qu’elle correspond au domaine officiel du service de stockage en ligne.
- Toujours activer l’authentification à deux facteurs lorsque c’est possible sur un compte de stockage en ligne pour renforcer la sécurité.
Les fausses notifications de facturation sur AWS
Principe
Les cybercriminels peuvent également envoyer de fausses notifications de facturation semblant provenir d’AWS pour tromper les utilisateurs et les inciter à divulguer leurs informations sensibles. Ces notifications de facturation frauduleuses ressemblent souvent à celles envoyées par AWS, avec des logos et des mises en forme similaires. Les utilisateurs sont invités à cliquer sur un lien de paiement ou à saisir leurs informations de carte de crédit pour régler un prétendu solde impayé. En réalité, ces liens redirigent les utilisateurs vers des pages de phishing où leurs informations sont capturées.
Fausse notification de facturation AWS
Remediation
Pour se protéger contre les fausses notifications de facturation sur AWS, voici quelques conseils :
- Se méfier des e-mails ou des notifications de facturation inattendues ou urgentes et prendre le temps de les examiner attentivement.
- Ne pas cliquer sur les liens de paiement dans ces e-mails, mais plutôt accéder directement au compte AWS en utilisant l’URL officielle.
- Toujours vérifier l’adresse e-mail de l’expéditeur et se méfier des e-mails provenant d’adresses inconnues ou suspectes.
- Toujours activer l’authentification à deux facteurs lorsque c’est possible sur un provider cloud pour renforcer la sécurité.
- Des solutions proposées par les fournisseurs peuvent aider à prévenir la fraude (ex : Amazon Fraud Detector).
“Cloud Storage Sharing” via OneDrive
Principe
OneDrive est un service de stockage cloud populaire qui peut être exploité par les cybercriminels pour mener des attaques de phishing. Dans cette technique assez triviale, les attaquants importent des fichiers malveillants sur OneDrive et les partagent avec des utilisateurs ciblés par le biais d’e-mails ou de liens partagés. Lorsque les utilisateurs cliquent sur le lien de partage, ils ont accès au drive légitime de Microsoft et peuvent récupérer des documents à caractère malveillant.
OneDrive reste un exemple d’utilisation, mais les différents fournisseurs de stockage peuvent être utilisés pour exploiter cette méthode.
Fonctionnalité de partage de fichier OneDrive
Remédiation
Pour se protéger contre le « cloud storage sharing » sur OneDrive, il est recommandé de :
- Examiner attentivement toute notification de partage, pour éviter de cliquer sur des liens malveillants ou de divulguer des informations sensibles.
- Toujours vérifier l’adresse e-mail de l’expéditeur et se méfier des e-mails provenant d’adresses inconnues ou suspectes.
- Vérifier le domaine de l’URL pour s’assurer qu’elle correspond au domaine officiel du service de stockage en ligne.
- Effectuer une analyse (antivirus, EDR) sur les fichiers téléchargés.
Conclusion
Les plateformes cloud, telles que Azure et AWS, offrent de nombreux avantages en termes de stockage, de partage et de gestion des données. Cependant, il est essentiel de rester vigilant face aux techniques de phishing qui exploitent ces environnements. En suivant les bonnes pratiques de sécurité, en sensibilisant les utilisateurs et en mettant en place des mesures de protection appropriées, il est possible de réduire les risques liés aux attaques de phishing dans les plateformes cloud. La collaboration entre les fournisseurs de services cloud et les utilisateurs est également cruciale pour identifier et contrer ces menaces de manière proactive, garantissant ainsi un environnement cloud plus sécurisé pour tous.
Il est important de souligner que les exemples mentionnés ci-dessus ne sont que quelques-uns parmi les nombreuses techniques de phishing utilisant les plateformes cloud. Les cybercriminels sont constamment à l’affût de nouvelles méthodes pour tromper les utilisateurs et exploiter les environnements cloud. Par conséquent, il est crucial de rester informé des dernières tendances en matière de phishing et de renforcer en permanence ses mesures de sécurité.
D’autres techniques de phishing couramment utilisées dans les plateformes cloud comprennent l’usurpation d’identité d’un fournisseur de services cloud, l’envoi de fausses invitations de collaboration dans des environnements de partage de fichiers, la création de faux formulaires de saisie d’informations sur des pages web hébergées dans le cloud, et bien d’autres.
En tant qu’utilisateurs des plateformes cloud, il est essentiel de rester vigilants, de mettre en place des mesures de sécurité robustes et de suivre les bonnes pratiques recommandées par les fournisseurs de services cloud pour protéger nos données et nos informations sensibles.
Sources : https://aadinternals.com/post/phishing/
https://learn.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-device-code
https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-bucket-intro.html
https://geeko.lesoir.be/2023/04/02/pourquoi-il-faut-faire-tres-attention-a-cette-nouvelle-arnaque