Cette technique est couramment utilisée par des entreprises légitimes pour dissuader les robots d’extraire le contenu. Comme les utilisateurs finaux ont l’habitude qu’on leur demande de résoudre un reCaptcha pour prouver qu’ils ne sont pas un robot, l’utilisation malveillante d’un vrai mur reCaptcha donne également plus de crédibilité au site d’hameçonnage. Les utilisateurs sont alors plus susceptibles d’être trompés.

Pleins feux sur une menace

Utilisation malveillante des murs reCaptcha. Les campagnes d’hameçonnage des références d’identité par messagerie électronique commencent à utiliser les murs reCaptcha pour empêcher les systèmes d’analyse automatisée des URL d’accéder au contenu réel des pages d’hameçonnage. Les murs reCaptcha rendent le site d’hameçonnage également plus crédible aux yeux des utilisateurs.

Alors que certaines campagnes se contentent d’usurper la case reCaptcha et ne contiennent en réalité qu’une case à cocher et un formulaire, l’utilisation de l’API reCaptcha réelle devient de plus en plus courante. Cette approche est incontestablement plus efficace pour dissuader les systèmes d’analyse automatisée, car une fausse case reCaptcha pourrait facilement être contournée par programme, simplement en envoyant le formulaire.

C’est probablement la raison pour laquelle les chercheurs de Barracuda observent moins de fausses cases reCaptcha. Dans les échantillons examinés pour ce rapport, seul un email comportant une fausse case reCaptcha a été détecté, contre plus de 100 000 emails utilisant la véritable API.

Détails

Ces dernières semaines, les chercheurs de Barracuda ont observé de multiples campagnes d’hameçonnage des références d’identité par messagerie électronique utilisant des murs reCaptcha sur les liens des emails d’hameçonnage. Une campagne a ainsi comporté plus de 128 000 emails utilisant cette technique pour falsifier de fausses pages de connexion à Microsoft. Les messages d’hameçonnage utilisés dans cette campagne, comme l’exemple ci-dessous, prétendent que l’utilisateur a reçu un message vocal.

Les messages contiennent une pièce jointe HTML qui renvoie vers une page comportant un mur reCaptcha. La page ne contient rien d’autre que le reCaptcha, mais c’est un format assez courant pour les reCaptcha légitimes également, donc elle n’est pas susceptible d’alerter l’utilisateur.

Une fois que l’utilisateur a résolu le reCaptcha dans cette campagne, il est redirigé vers la page d’hameçonnage réelle, qui usurpe l’apparence d’une page de connexion courante à Microsoft. Il n’est pas certain que l’apparence de la page corresponde au serveur de messagerie légitime de l’utilisateur, mais il est possible qu’avec une simple reconnaissance, l’attaquant puisse trouver ce type d’information pour rendre la page d’hameçonnage encore plus convaincante.

Mode de protection contre cette menace

L’étape la plus importante dans la protection contre les murs reCaptcha malveillants est d’informer les utilisateurs de la menace afin qu’ils se montrent prudents, au lieu de partir du principe qu’un reCaptcha est un signe qu’une page est sûre. Les utilisateurs doivent faire preuve de vigilance lorsqu’ils voient des murs reCaptcha, en particulier à des endroits inattendus où il n’y a jamais eu de murs légitimes par le passé.

Comme pour tout hameçonnage basé sur le courrier électronique, la vérification des expéditeurs, des URL et des pièces jointes aidera les utilisateurs à repérer cette attaque avant qu’ils n’atteignent le reCaptcha. Ainsi, la protection contre ce type d’attaque passera également par une formation de sensibilisation à la sécurité pour les utilisateurs, en leur fournissant une base solide sur la façon de reconnaître les attaques d’hameçonnage et de les signaler.

Bien que ce piège avec le reCaptcha complique l’analyse automatisée des URL, l’email constitue lui-même une attaque d’hameçonnage et peut être détecté par des solutions de protection de la messagerie électronique. Au final, toutefois, aucune solution de sécurité ne pourra absolument tout détecter. La capacité des utilisateurs à repérer des emails et des sites web malveillants est donc essentielle.