Les chercheurs en sécurité ont constaté que de plus en plus de sites de phishing utilisaient des services de web analytique et avaient inclus des trackers d’User ID dans leur code. Or, l’usage, intentionnel ou accidentel, de ces identificateurs peut aider les systèmes de défense à débusquer les pages des sites de phishing utilisées dans les grandes campagnes d'attaque. En analysant un ensemble de 54 261 pages d'hameçonnage actives délivrées à partir de 28 906 domaines uniques, les chercheurs d’Akamai, le fournisseur de services CDN, ont constaté que 874 domaines étaient associés à des ID de web analytique. Environ 396 identifiants UID provenaient de Google Analytics et 75 avaient été utilisés sur plusieurs sites web.
Les services analytique web attribuent des identifiants d'utilisateur uniques (UID) aux clients pour voir comment les visiteurs interagissent avec leurs sites web et recueillir des informations sur leurs navigateurs, systèmes d'exploitation, géolocalisation et autres détails. De telles données sont importantes pour les propriétaires de sites, parce qu'elles les aident à comprendre le comportement de leur public et à adapter leur contenu en conséquence. On estime que, sur Internet, plus de la moitié des sites Web font, d’une façon ou d’une autre, de l’analytique web. Les cybercriminels comprennent également la valeur de ces données pour évaluer la performance de leurs attaques et effectuer un ciblage plus granulaire. Ainsi, les créateurs de kits de phishing, qu’ils revendent à des cybercriminels, ont commencé à intégrer de l’ analytique web dans leurs produits et ils font souvent appel aux mêmes services d'analyse que les sites web légitimes. Mais il arrive que la présence d'UID uniques sur les pages de sites d'hameçonnage soit accidentelle : les attaquants omettent de supprimer les UID légitimes quand ils ratissent ou dupliquent des sites web pour créer leurs faux sites.
L'UID, un mouchard pour les systèmes de défense
Il est rare que les attaquants usurpent l'identité d'un seul site ou qu’ils se contentent de mettre en place une seule URL de phishing. En effet, les attaques par phishing sont souvent associées à de vastes campagnes ciblant plusieurs sites à la fois et les pages de phishing sont réparties sur plusieurs domaines pour éviter la détection et résister aux tentatives de démantèlement. Par exemple, si l'équipe de sécurité d'une entreprise bloque manuellement une URL de phishing signalée par un employé qui a reçu un courriel malveillant malgré la protection anti-spam mise en place, cela ne garantit pas que l'attaque ciblant l'entreprise a été déjouée. Un autre employé peut avoir reçu une URL différente dans un autre courriel d'hameçonnage, même s'il est ciblé par la même campagne. Les solutions automatisées basées sur des listes noires d'URL s'appuient également sur les flux des fournisseurs de sécurité, mais elles sont mises à jour uniquement après que les fournisseurs ont détecté les campagnes d'attaques et identifié les URL malveillantes.
Cependant, les systèmes de défense peuvent facilement exploiter l’UID d'analyse enregistré sur plusieurs pages de phishing pour créer une signature de détection ou une règle de pare-feu qui bloquera toutes les pages de la même campagne. C’est pourquoi, c’est une bonne solution pour les fournisseurs de sécurité et les équipes de sécurité de l'entreprise. De plus, si les attaquants ont commis l'erreur de laisser l'UID d'analyse légitime d'un site web cloné dans leurs pages de phishing, les propriétaires des sites web usurpés peuvent les tracer et les signaler aux gestionnaires de domaines. Ces derniers pourront probablement voir, dans leurs rapports de comptes, le trafic utilisateur sur ces pages.
« L’analyse permet aux cybercriminels de se concentrer sur les victimes et à limiter leur attaque à une zone ou à un type de terminal donné », ont déclaré les chercheurs d'Akamai dans un rapport publié hier. « Il n'est pas rare de voir une attaque de phishing cibler des appareils iOS et ignorer par exemple les appareils Android. Cela peut s’expliquer par le fait que le cybercriminel a tracé les utilisateurs les plus vulnérables pour les attirer vers sa page et il sait qu’il a moins de chance d’attirer des utilisateurs Android. Mais, quand un pirate utilise son propre UID, il le fait sur tous ses kits. Il est donc non seulement possible de suivre une campagne de phishing unique, mais parfois aussi de suivre plusieurs campagnes simultanément et d’ajuster ses systèmes de défense en conséquence », ont encore déclaré les chercheurs en sécurité d’Akamai.
Des UID déjà utilisés pour repérer les campagnes de phishing
Par deux fois déjà, les chercheurs d’Akamai ont pu repérer des campagnes beaucoup plus importantes en traquant l'UID d'analytique web utilisé sur les pages de phishing. La première campagne ciblait les utilisateurs de LinkedIn et utilisait de nombreux domaines fallacieux partageant tous le même UID Google Analytics, probablement ajouté par le créateur du kit de phishing. La seconde campagne ciblait les utilisateurs d'AirBnB qui utilisaient des sous-domaines sur 000webhostapp.com, un service d'hébergement de site légitime. Mais elle avait conservé l'UID d'analytique web original d'AirBnB, ce qui a permis aux équipes de sécurité d'identifier facilement les sous-domaines malveillants.
« Les équipes de sécurité peuvent suivre leurs propres UID d’analyse dispersés dans la nature au cas où le contenu de leur site web a été dupliqué pour créer un site de phishing », a également expliqué Tomer Shlomo, chercheur en sécurité chez Akamai. « Les chercheurs en sécurité et les fournisseurs de services de sécurité peuvent utiliser des Toolkits UID de phishing pour suivre d'autres sites web de phishing et évaluer l'ampleur de la campagne ou trouver d'autres activités de phishing déployées par le même attaquant ».