Les images CAPTCHA de Google sont utilisées pour vérifier que l’utilisateur qui soumet un formulaire n’est pas un bot. Ces systèmes arrêtent les requêtes automatisées et protègent les utilisateurs d’installer une application de spamming.
De nombreux utilisateurs sont familiers avec ce système, et c’est pour cette raison que les pirates informatiques se servent souvent des CAPTCHA pour lancer des attaques de phishing.
L’attaque de phishing qui utilise les CAPTCHA est souvent couronnée de succès pour plusieurs raisons. Mais la principale d’entre elles est que les victimes pensent souvent qu’elles visitent un site web fiable, car elles voient des contrôles de vérification qui ne se trouvent que sur des sites web inoffensifs.
Que sont les CAPTCHA ?
Les CAPTCHA – pour « Completely Automated Public Turing test to tell Computers and Humans Apart » – sont souvent utilisés par les sites web dans le but de déterminer et de tester les internautes qu’ils soient des humains ou des robots.
Il ne s’agit pas d’un contrôle d’authentification, mais de la méthode d’authentification les plus courantes utilisées par les services web et les sites web. En réalité, les CAPTCHA sont destinés à protéger les services en ligne contre les programmes malveillants et les scripts automatisés.
Les CAPTCHA peuvent être classés en différentes catégories, mais en général, ils sont entièrement basés sur l’hypothèse qu’il existe des différences entre la capacité intellectuelle d’un programme informatique et celui d’un être humain, malgré l’évolution des recherches concernant l’intelligence artificielle. Pour faire simple, les CAPTCHA sont conçus pour être plus facile à maîtriser par un utilisateur humain, mais insoluble pour les robots d’indexation (également appelés « crawlers »).
Sans pouvoir être exhaustif, il existe actuellement quatre types de CAPTCHA, à savoir :
- le CAPTCHA traditionnel ;
- le CAPTCHA audio ;
- le CAPTCHA image ;
- le reCAPTCHA.
Le CAPTCHA traditionnel
Il s’agit d’un CAPTCHA textuel, c’est-à-dire un système d’authentification qui utilise un texte déformé et difficile à lire. Souvent, l’utilisateur doit recopier ce texte dans une case spéciale prévue à cet effet dans la page web. C’est la forme la plus ancienne de vérification humaine sur le formulaire d’un site web. Le brouillage partiel du CAPTCHA implique plusieurs étapes au cours desquelles les caractères individuels des mots de la solution présentée sont associés à d’autres éléments graphiques.
CAPTCHA audio
Les internautes qui souhaitent accéder à la ressource protégée doivent identifier correctement le texte qui s’affiche. Comme les malvoyants ne peuvent pas résoudre ces problèmes, le CAPTCHA audio a été développé dans ce sens. Cette alternative est souvent combinée dans la même interface qu’un CAPTCHA visuel. Pour ce type de test, l’internaute doit écouter une voix brouillée et identifier les mots ou les chiffres qui sont prononcés.
Les CAPTCHA textuels et audio sont les deux des premières solutions utilisées par les développeurs informatiques. Pourtant, ils se sont révélés inadéquats pour protéger les systèmes et les services. D’autres solutions comme le CAPTCHA basé sur l’image ont été introduites pour pallier les limites de ces méthodes.
Le CAPTCHA image
Il s’agit d’une alternative aux CAPTCHA textuels. Dans ce cas, les lettres et les chiffres sont remplacés par des images s’appuyant sur des éléments graphiques faciles à identifier. Souvent, les développeurs de sites Internet utilisent plusieurs motifs qui sont présentés côte à côte à l’internaute. Ce dernier doit ensuite spécifier les motifs identiques ou cliquer sur un certain type de motif.
Le reCAPTCHA
Actuellement, c’est le type CAPTCHA le plus fréquemment utilisé. Le concept est simple : il suffit de cocher une case afin de prouver que l’internaute est vraiment un être humain. Dès que la plate-forme en ligne a des doutes, un second test à résoudre apparaît immédiatement.
La majorité des internautes perçoivent l’utilisation des CAPTCHA comme une perte de temps, voire même une nuisance. Cependant, ils représentent de véritables atouts pour les propriétaires de sites Internet, et ce, pour plusieurs raisons. En voici quelques-unes :
- Ils permettent de distinguer les faux trafics et les trafics réels ;
- Les développeurs peuvent les utiliser pour diminuer la quantité de spams sur un formulaire intégré à leurs sites web.
Ces derniers peuvent par exemple vous inviter à cliquer sur les parties qui comportent des images de bouche d’incendie, de vélo, ou sur une grille comportant une image particulière.
Une fois que l’internaute a réussi le test reCAPTCHA, il est redirigé vers une page d’accueil légitime (ou une page de phishing).
Qu’est-ce que le phishing ?
Le phishing est une tactique utilisée par les cybercriminels pour obtenir des informations personnelles des internautes. Ils se font généralement passer pour des organisations légitimes, ou des entreprises dont les internautes ont déjà entendu parler, et utilisent un e-mail, un appel téléphonique ou un message texte pour contacter une cible. Ensuite, le destinataire est encouragé à visiter un faux site web, ou à cliquer sur un lien dans le message texte ou l’e-mail qui peut le conduire à un faux site web.
Le site web a souvent l’air légitime, et l’utilisateur sera sollicité à entrer ses données de connexion. De là, le cybercriminel peut accéder à son compte et peut vendre les informations, les utiliser pour accéder à d’autres comptes ou installer un malware sur son appareil. Le malware peut ensuite recueillir plus d’informations. Dans les cas où le cybercriminel représente une banque, il peut voler de l’argent aux particuliers.
Dans certains cas, le but du phishing est l’installation d’un malware sur l’appareil de la victime, ce qui l’empêche d’accéder à ses documents et fichiers si celle-ci ne paye pas le cybercriminel.
Souvent, le phishing vise les utilisateurs du système d’exploitation Microsoft 365 et, dans ce cas, il cible généralement les entreprises. Les employés qui cliquent sur le lien contenu dans un e-mail malveillant sont redirigés vers une page web où ils sont invités à cliquer sur trois écrans CAPTCHA, avant d’être finalement invitées à fournir leurs informations de connexion à Microsoft 365.
Les variantes de cette forme d’escroquerie sont énormes pour les entreprises. Parfois, le phishing permet à un cybercriminel d’accéder à un compte Microsoft 365 et de compromettre à la fois la sécurité de l’employé et celle de tous les autres employés de l’entreprise. Et même les données clients stockées dans les serveurs de l’entreprise peuvent être compromises ou volées.
Vulnérabilités à deux facteurs par SMS
L’utilisation des CAPTCHA dans le cadre d’une attaque de phishing n’est pas un phénomène nouveau. Les pirates informatiques l’ont utilisé pour piéger les utilisateurs et les amener à installer des malwares déguisés en fausses mises à jour d’Adobe Flash.
L’attaque la plus récente cible les Smartphones, en particulier les utilisateurs d’Android. Une application (APK) malveillante est téléchargée sur le dispositif Android d’un utilisateur afin d’intercepter les codes PIN à deux facteurs qui lui sont envoyés pendant l’authentification.
Cette technique vise à permettre aux pirates d’accéder aux informations d’identification des utilisateurs même si des procédures multifactorielles supplémentaires sont utilisées pour augmenter la sécurité informatique.
L’utilisation des SMS dans le cadre d’une authentification à deux facteurs a récemment fait l’objet de critiques, car elle présente certaines failles de sécurité. Le protocole SS7 utilisé pour l’envoi de messages SMS est un ancien système qui montre certaines failles. Grâce à l’ingénierie sociale, les pirates peuvent par exemple tromper un représentant des télécommunications en lui attribuant un autre numéro de téléphone à sa propre carte SIM. Cette attaque s’appelle le détournement de carte SIM. Elle a été utilisée pour vider des comptes bancaires et pour voler des millions d’euros en crypto-monnaie. Cette dernière attaque utilise une APK malveillante dans le but d’intercepter les codes PIN du Smartphone d’un utilisateur.
Avec l’accès au code PIN et au mot de passe d’un utilisateur, un pirate informatique peut contourner l’authentification à deux facteurs. Cette méthode lui permet d’accéder à des comptes bancaires ou à des données médicales et professionnelles sensibles. Elle peut également constituer une première étape pour accéder à d’autres comptes ou informations confidentielles.
Voler des codes PIN par SMS à l’aide du phishing utilisant le CAPTCHA
La dernière attaque de CAPTCHA a commencé par un email de phishing. L’utilisateur reçoit un lien qui le redirige vers une page contrôlée par l’attaquant, en utilisant le langage PHP. La page PHP affiche un faux reCAPTCHA Google, avec des images qui semblent légitimes. Contrairement à ceux des reCAPTCHA officiels, les contrôles sonores ne fonctionnent pas et les images restent statiques, c’est-à-dire qu’elles ne changent pas lorsque l’utilisateur entre le mauvais code. Bien entendu, l’utilisateur peut cliquer sur n’importe quelle image, ce qui le soumet à la page PHP. De ce fait, il lance la prochaine étape de l’attaque.
La requête se sert de l’agent utilisateur – une APK cliente utilisée avec un protocole réseau particulier- fourni par le navigateur pour déterminer le type de fichier qui sera téléchargé sur l’appareil ciblé. Si l’agent utilisateur est Android, alors le pirate peut par exemple envoyer un fichier APK malveillant.
L’APK téléchargé sera utilisé pour intercepter les codes PIN par SMS. Avec ces codes, un attaquant peut avoir un niveau d’accès beaucoup plus élevé qu’avec les sites qui utilisent simplement un nom d’utilisateur et un mot de passe pour l’authentification. Il peut même voler l’adresse e-mail d’un utilisateur pour vérifier ses comptes et pour réinitialiser ses mots de passe. Ainsi, il sera en mesure d’accéder à d’autres comptes.
Dans le cas d’attaques ciblées, les détails du compte de l’entreprise pourraient faire l’objet de fuites, ce qui donnerait au cybercriminels un accès aux autres ressources de l’organisation.
Un Trojan-SMS peut aussi déjouer les CAPTCHA
Récemment, nous avons découvert le malware dénommé Trojan-SMS.AndroidOS.Podec. Il s’agit d’un cheval de Troie qui utilisait un système de protection puissant contre l’analyse et la détection. Heureusement, ces mesures de protection ont été déjouées, et la version complète du Trojan-SMS.AndroidOS.Podec a été interceptée.
Cette nouvelle version du cheval de Troie était remarquable, car elle était dotée d’une fonction d’envoi de messages à des numéros surfacturés par le biais des mécanismes de contournement du système « Advice of Charge ». Il s’agit d’une notification envoyée à l’utilisateur sur le coût du système et qui demande ensuite la confirmation du paiement. Elle est également dotée d’une autre fonction qui permet d’inscrire la victime à des services payants, en contournant le système CAPTCHA. C’était Kaspersky Lab qui a découvert pour la première fois ce genre de fonctionnalité dans un Trojan.
Cette version du Trojan est répandue en Russie et chez ses voisins comme le Kazakhstan, l’Ukraine et la Biélorussie.
En fait, les escrocs utilisaient un jeu piraté distinct ou un ensemble de jeux piratés. Ils essayaient d’attirer l’attention de leurs victimes potentielles et qui étaient intéressées par l’utilisation gratuite d’un contenu payant très recherché.
La plupart des messages sur le mur du groupe de cybercriminels contenaient des liens vers des sites qui contenaient des prétendus jeux et d’autres applications pour Android. En réalité, l’unique objectif des sites malveillants était de propager différentes versions du Trojan-SMS.AndroidOS.Podec.
L’organisation et la mise en page de ces sites (par exemple, l’utilisation de mots clés au lieu de descriptions, avalanche de messages simples et généraux créés par des bots, outre la publication de liens vers de faux sites qui se ressemblent les uns des autres permettent d’affirmer que la propagation du malware a été créée par des spécialistes. Les astuces susmentionnées permettent d’améliorer le classement des sites dans les résultats des recherches et d’augmenter la probabilité de recevoir des visites.
Toutes ces communautés sont administrées par un utilisateur de « Vkontakte » – un site de réseautage social russe qui est similaire à Facebook – et qui utilise le pseudonyme « kminetti ». Son profil contient des publicités pour les communautés susmentionnées. Le compte était actif depuis le 12 octobre 2011, mais des messages contenant des liens vers les sites et les communautés qui diffusent des malwares pour les utilisateurs ont été publiées depuis 2012. Avant cela, le compte était utilisé en tant que bot qui plaçait des liens sur des ressources en ligne dans le but d’augmenter la popularité de la plateforme.
Un simple survol du code exécutable du malware a mis en évidence le nombre élevé de fonctions pour HTTP et HTML. Outre les fonctions standard pour ce genre de cheval de Troie (à savoir l’envoi et l’interception de SMS, la possibilité de réaliser des appels et de manipuler les journaux des SMS et des appels), Trojan-SMS.AndroidOS.Podec était doté de fonctions d’accès qui peuvent être configurées à des pages Internet et transférer leur code au serveur des individus malintentionnés. Mais ce qui distingue vraiment ce malware, c’est la fonction de lecture des images CAPTCHA.
Protection des utilisateurs contre le phishing
Le début de la plupart des attaques CAPTCHA est un email de phishing. Pour réussir, l’attaquant doit être capable d’amener un utilisateur à ouvrir une page qui affiche un faux test reCAPTCHA. La page peut être une page PHP locale qui s’exécute dans une hôte web ou sur un serveur distant qu’il contrôle.
Pour se protéger d’une telle menace, les entreprises peuvent d’abord offrir des documents aux utilisateurs ou bien les former à identifier les attaques de phishing. Cette première étape a été prouvée pour réduire les attaques de phishing réussies, mais ce n’est pas suffisant. Les administrateurs doivent également mettre en place des systèmes de cybersécurité et des programmes de détection efficaces pour bloquer les menaces sur le web.
Les filtres de contenu facilitent l’accès à des sites web distants, tandis que le filtrage basé sur le DNS peut arrêter les attaques lorsque le navigateur effectue une requête de domaine. En effet, les utilisateurs ne peuvent pas accéder au domaine qui héberge des contenus malveillants. Ils sont tout simplement bloqués et des notifications sont envoyées aux administrateurs réseau. Ces notifications peuvent aider ces derniers à déterminer à quel moment une attaque de phishing tente de cibler leur organisation.
Usurpation de l’adresse e-mail de l’expéditeur original
Certaines attaques de phishing usurpent l’adresse e-mail d’un expéditeur légitime. Les utilisateurs peuvent cliquer sur les liens d’expéditeurs d’e-mails reconnaissables, mais ils ne savent pas comment vérifier les en-têtes d’e-mails dans le but de reconnaître si un message est frauduleux ou non.
La technologie DMARC (Domain-based Message Authentication, Reporting & Conformance) est une technologie plus récente qui combine le chiffrement et les entrées DNS pour s’assurer que l’expéditeur est légitime. La sécurité DMARC met tout d’abord en quarantaine les e-mails afin que l’administrateur puisse les examiner puis supprimer les messages suspects, ou bien renvoyer les e-mails sains dans la boîte de réception du destinataire.
Ces trois solutions de cybersécurité devraient être mises en place pour éviter les attaques de phishing réussies. La formation aide les utilisateurs à identifier les messages malveillants, mais les filtres DMARC et DNS les protègent s’ils ne sont pas en mesure d’identifier une attaque.
Pour en savoir plus sur le fonctionnement de la DMARC dans SpamTitan, contactez-nous dès aujourd’hui ou consultez nos informations techniques anti-phishing SpamTitan.
FAQs
Le captcha suffit-il à empêcher toutes les attaques de phishing ?
Non, le captcha n’empêche pas les internautes de répondre plusieurs fois à une requête. Vous devez envisager d’utiliser d’autres moyens d’authentification et, si possible, un filtre antispam tiers et fiable pour empêcher les tentatives multiples de la part d’une même personne d’accéder à votre site internet.
Pourquoi le captcha n’est-il pas fiable ?
Vous pouvez mettre en place un système captcha, mais à mesure que la technologie et les pirates informatiques deviennent plus avancés, ces derniers développent aussi des tactiques d’escroquerie encore plus sophistiquées. Un cybercriminel peut par exemple en intégrer un à un site web malveillant afin de rendre plus crédible.
Quelles sont les différentes applications du captcha ?
En bref, il permet d’assurer la sécurité des sites web et des utilisateurs. Entre autres, ces applications comprennent la protection des adresses électroniques, la protection des enregistrements de sites web, la protection des sondages en ligne, la protection contre les virus lancés via la messagerie électronique et les spams.
Doit-on utiliser différents captchas pour plusieurs sites web ?
Vous devriez même le faire, car si vous utilisez un captcha unique pour tous vos sites, les pirates pourraient s’en apercevoir et créer des robots capables de contourner ce test. Il est également recommandé de changer de temps en temps le type de captcha.
Le protocole DMARC est-il destiné aux PME ou aux grandes entreprises ?
En fait, ce protocole est nécessaire pour toute entreprise qui se soucie de la sécurité de son réseau, de sa réputation et de son service de messagerie électronique, qu’elle soit grande ou petite.