Campagne de Phishing Sophistiquée
Une nouvelle campagne de phishing sophistiquée vise les comptes X de personnalités du secteur crypto, utilisant des tactiques qui contournent l’authentification à deux facteurs et semblent plus crédibles que les escroqueries traditionnelles. Selon un post X de mercredi du développeur crypto Zak Cole, cette campagne exploite l’infrastructure même de X pour prendre le contrôle des comptes de figures influentes du milieu.
« Aucune détection. Actif en ce moment. Prise de contrôle complète du compte, » a-t-il déclaré.
Cole a souligné que l’attaque n’implique pas de fausse page de connexion ou de vol de mot de passe. Au contraire, elle utilise le support de l’application X pour accéder au compte tout en contournant l’authentification à deux facteurs. Le chercheur en sécurité de MetaMask, Ohm Shah, a confirmé avoir observé l’attaque « dans la nature », suggérant qu’il s’agit d’une campagne plus large. Un modèle OnlyFans a également été ciblé par une version moins sophistiquée de cette attaque.
Rédaction d’un Message de Phishing Crédible
La caractéristique notable de cette campagne de phishing est sa crédibilité et sa discrétion. L’attaque débute par un message direct sur X contenant un lien qui semble rediriger vers le domaine officiel de Google Calendar, grâce à la manière dont la plateforme de médias sociaux génère ses aperçus. Dans le cas de Cole, le message prétendait provenir d’un représentant de la société de capital-risque Andreessen Horowitz.
Annonce
Hors ligne signifie intouchable. Avec NGRAVE, vivez une sécurité pure et froide pour votre Bitcoin, NFTs et tokens. —> Économisez 10 % avec le code COINTELEGRAPH.
Le domaine vers lequel le message redirige est x(.)ca-lendar(.)com, enregistré samedi. Pourtant, X affiche le légitime calendar.google.com dans l’aperçu, grâce aux métadonnées du site qui exploitent la façon dont X génère des aperçus. « Votre cerveau voit Google Calendar. L’URL est différente. »
Lorsqu’on clique, le JavaScript de la page redirige vers un point de terminaison d’authentification X demandant l’autorisation d’une application d’accéder à votre compte de médias sociaux. L’application semble être « Calendar », mais un examen technique du texte révèle que le nom de l’application contient deux caractères cyrilliques ressemblant à un « a » et un « e », ce qui en fait une application distincte par rapport à la véritable application « Calendar » dans le système de X.
L’Indice Révélant l’Attaque
Jusqu’à présent, le signe le plus évident que le lien n’était pas légitime pourrait avoir été l’URL qui est brièvement apparue avant que l’utilisateur ne soit redirigé. Cela est probablement apparu pendant une fraction de seconde et est facile à manquer.
Cependant, sur la page d’authentification X, nous trouvons le premier indice que c’est une attaque de phishing. L’application demande une longue liste de permissions de contrôle de compte complètes, y compris suivre et ne plus suivre des comptes, mettre à jour des profils et des paramètres de compte, créer et supprimer des publications, interagir avec les publications d’autres personnes, et plus encore.
Ces permissions semblent inutiles pour une application de calendrier et peuvent être l’indice qui sauve un utilisateur prudent de l’attaque. Si l’autorisation est accordée, les attaquants obtiennent accès au compte, tandis que les utilisateurs reçoivent un autre indice avec une redirection vers calendly.com malgré l’aperçu de Google Calendar.
« Calendly ? Ils ont usurpé Google Calendar, mais redirigent vers Calendly ? Échec majeur de la sécurité opérationnelle. Cette incohérence pourrait alerter les victimes, » a souligné Cole.
Selon le rapport GitHub de Cole sur l’attaque, pour vérifier si votre profil a été compromis et expulser les attaquants de votre compte, il est recommandé de visiter la page des applications connectées X. Ensuite, il suggère de révoquer toutes les applications nommées « Calendar ».
