Les escrocs de phishing exploitent l'hébergement Web Wix

Les cybercriminels aiment subvertir les services en ligne légitimes comme Google Docs et Dropbox pour mener leurs activités malveillantes. La société d'hébergement de sites Web gratuite Wix est le dernier ajout à la liste des services dont ils ont abusé.

Les chercheurs de la société de sécurité Cyren ont découvert que les escrocs créaient des sites de phishing conçus pour collecter les informations de connexion Office 365 via Wix, qui offre un éditeur simple par clic et glisser pour créer des pages Web. Comme cela se produit généralement avec les services gratuits, les criminels profitent de ces outils pour mener à bien leurs opérations.

Le site de phishing ressemble à une nouvelle fenêtre de navigateur ouverte sur une page de connexion Office 365. En fait, il s'agit d'une capture d'écran d'une page de connexion Office 365 avec des champs modifiables superposés sur l'image. Les utilisateurs pensent que le site est légitime et entrent les informations de connexion, sauf que les informations sont entrées dans les champs de la superposition et non dans la page Office 365 réelle.

Sur le bureau, la superposition est correcte, mais le fait que les champs soient séparés de l'image est beaucoup plus évident sur l'appareil mobile, a déclaré Cyren.

Les criminels réfléchissent également à des moyens de rester sous le radar de Wix. Par exemple, il n'y a pas de texte sur la page - c'est une seule image - et le champ du mot de passe est mal orthographié comme "passvvord". Les attaquants peuvent avoir pris ces décisions en supposant que Wix dispose d'un processus d'analyse automatisé qui vérifie le contenu du site pour signaler les sites potentiellement mauvais.

Les attaquants ont peut-être conçu les pages pour faire croire à l'utilisateur que quelque chose avait ouvert une nouvelle fenêtre de navigateur, a déclaré Avi Turiel, chercheur à Cyren. Cela pourrait également être une marque de paresse, l'attaquant prenant une capture d'écran de la page de connexion d'origine et ne prenant pas la peine de modifier l'image. "Peut-être que c'est un essai pour voir si cela fonctionne, donc moins d'efforts ont été consacrés", a déclaré Turiel.

Les criminels aiment héberger des logiciels malveillants sur des services de stockage dans le cloud ou créer leur infrastructure d'attaque avec des fournisseurs légitimes pour contourner les défenses de sécurité courantes. Les utilisateurs, même ceux qui ont été formés pour examiner les liens afin de détecter d'éventuelles attaques de spam ou de phishing, n'hésitent pas à cliquer sur des liens vers des domaines et des services populaires, car ils sont conditionnés à travailler avec ces outils. Les organisations ne peuvent pas non plus bloquer carrément les domaines et les fournisseurs de services populaires qui sont largement adoptés. Dans certains cas, les produits de sécurité Web peuvent même ne pas analyser les URL car les produits sont considérés comme fiables.

Cela aide également que ces services soient gratuits. Les attaquants bénéficient d'un domaine valide sans avoir à dépenser d'argent.

Cyren ne savait pas comment les utilisateurs sont envoyés sur les pages Wix. Une redirection de navigateur ou une campagne d'ingénierie sociale pourrait guider les utilisateurs vers le site. Les pages malveillantes ont été signalées à Wix, mais les administrateurs doivent cesser de penser que certains sites sont fiables. Même le site le plus bénin peut être utilisé de manière malveillante.