Le site du service de stockage de fichiers cloud Dropbox a été utilisé pour mener une attaque par phishing, même si son éditeur a rapidement réagi selon Symantec pour fermer le lien vers la fausse page de connexion. L'éditeur de sécurité a indiqué avoir détecté de nombreux mails de phishing contenant un gros fichier ainsi qu'un lien vers la page de connexion d'un faux site Dropbox. « Cet e-mail enjoignait l'utilisateur à voir le document en cliquant sur un lien inclus dans le message, mais ce dernier ouvrait une fausse page de connexion à Dropbox, hébergée elle-même sur ce service », a indiqué Nick Johnston employé chez Symantec.
« En hébergeant leur fausse page de connexion sur Dropbox, les pirates peuvent ainsi bénéficier d'un nom de domaine plus crédible par rapport à un nom de domaine pris au hasard, le site étant inclus dans le nom de domaine des contenus de l'utilisateur, semblable à celui utilisé pour partager des photos ou des fichiers », a précisé Nick Johnston. Pour mieux tromper l'utilisateur, la plupart des éléments de la page étaient également fournis au travers de SSL, les anciens navigateurs n'émettant alors pas d'alerte pour signaler que SSL n'était pas utilisé sur la totalité de la page.
Un autre coup dur après l'affaire du vol d'identifiantsÂ
Les attaques de phishing ont souvent été effectuées sur des noms de domaines de confiance pour le stockage et le partage de fichiers, comme sur les services Google Docs et Drive. La page de phishing, qui a été rapidement enlevée par Dropbox, tentait de tromper les utilisateurs de ce service en ligne en leur demandant de rentrer leurs identifiants mais également en les incitant à se connecter en utilisant les identifiants de leur compte de messagerie. Une fois les identifiants collectés, un script PHP redirigeait alors simplement les utilisateurs vers la véritable page de connexion Dropbox.
Cette attaque par phishing intervient quelques jours après une précédente affaire autour de la sécurité de Dropbox qui impliquait plusieurs millions d'identifiants volés utilisés pour essayer de pénétrer sur le site, sans pour autant d'après l'éditeur, que ses serveurs aient été piratés.