Identification d’une nouvelle attaque de phishing avec des préfixes d’URL mal formés
Les pirates spécialisés en Phishing par e-mail optent pour une nouvelle tactique qui n’applique pas le changement des lettres de l’URL. D’ailleurs, rien ne change dans l’URL, et ce type d’attaque change uniquement les symboles utilisés dans le préfixe qui vient avant l’URL.
En effet, l’équipe de GreatHorn Threat Intelligence a identifié une nouvelle tendance d’attaques par e-mail, où les pirates informatiques arrivent à contourner les défenses d’URL traditionnelles dans le but d’attaquer les utilisateurs finaux. Les URL sont mal formées et n’utilisent pas les protocoles d’URL normaux, comme http : // ou https : //. Au lieu de cela, ils utilisent http:/ dans leur préfixe d’URL.
Les pirates peuvent contourner plusieurs analyseurs de courrier électronique grâce à ces préfixes d’URL mal formés entre le schéma et l’hôte. Les URL ne correspondent pas aux profils « connus de mauvaise qualité » développés par de simples programmes d’analyse des e-mails, ce qui leur permet de passer sans aucune détection. Ils arrivent même à échapper aux yeux des utilisateurs qui n’ont généralement pas l’habitude de chercher des signes d’activité suspecte dans le préfixe.
Ce type d’attaque a vu le jour dans les environnements de messagerie en Octobre 2020, et a pris une ampleur croissante jusqu’à fin 2020. Pendant les deux premiers mois de l’année 2021, le volume d’attaques de phishing par e-mail utilisant des préfixes d’URL mal formés a encore augmenté. GreatHorn Threat Intelligence a repéré ce type d’attaques de phishing au sein de différentes organisations.