À l’ère technologique d’aujourd’hui, la plupart des gens pensent que l’utilisation de l’authentification à deux facteurs constitue leur dernière ligne de défense. Bien que cette hypothèse ne soit pas fausse, il existe des moyens pour les pirates de contourner le 2FA et de voler des données personnelles. Ceux qui souhaitent contourner le système de sécurité 2FA utiliseraient un nouveau kit de phishing Adversary-in-The-Middle (AiTM) appelé Tycoon 2FA, qui constitue une menace à la fois pour Microsoft 365 et Gmail.

Le kit est lié à la plateforme Tycoon 2FA Phishing-as-a-Service (PhaaS). Grâce au kit, les pirates tentent de cibler les comptes Microsoft 365 et Gmail. Avec ce kit et des techniques telles que l'utilisation du numéro du service client d'Apple pour tromper les victimes sans méfiance, la menace d'attaques de phishing est plus élevée que jamais.

Quelle est la nouvelle menace de Gmail, le kit de phishing Tycoon 2FA ?

Découvert pour la première fois par l'équipe Sekoia Threat Detection & Research, Tycoon 2FA est une plateforme de phishing en tant que service annoncée à l'origine via des canaux Telegram privés. Il fonctionne à l'aide d'un kit de phishing Adversary-in-The-Middle, où un serveur proxy inverse héberge la page de phishing. Les services légitimes relaient ensuite les informations d'identification.

Les victimes suivent quelques étapes qui font de l’attaque Tycoon 2FA un succès pour les pirates. L'attaque commence généralement lorsqu'une victime reçoit un e-mail contenant un code QR ou un site Web malveillant qui la dirige vers le site de phishing. Lorsqu'ils interagissent avec le code QR ou le lien, les victimes visitent le contrôle de sécurité Cloudflare que de nombreux sites Web utilisent pour empêcher le trafic indésirable et filtrer les robots. En raison de la fréquence de ces défis ou contrôles, la plupart des gens n’y prêtent pas beaucoup attention.

Une fois que les victimes ont réussi le défi de sécurité, elles sont redirigées vers une fausse page Microsoft qui récupère leurs informations d'identification. À ce stade, le kit imite les invites 2FA, telles que les SMS OTP, les vérifications d'appels et les notifications push de l'application d'authentification. En mettant la main sur les entrées 2FA, les pirates peuvent générer des cookies de session valides et contourner les protections d'authentification multifacteur (MFA).

Une fois que les pirates se sont authentifiés à l’aide des informations d’identification relayées, les victimes sont redirigées vers une page d’erreur d’apparence légitime. La page cache le succès de l’attaque de phishing. Cependant, étant donné que les attaquants peuvent accéder librement aux comptes des victimes, ils peuvent en faire n'importe quoi.

Comment se protéger contre Tycoon 2FA ?

Ces escroqueries par phishing utilisent des méthodes sophistiquées pour tromper leurs proies en leur faisant croire qu'elles saisissent leurs informations d'identification sur des sites Web légitimes. Cependant, vous pouvez vous protéger en utilisant certaines de ces étapes. Tout d’abord, évitez de faire confiance aux liens et aux codes QR qui vous sont envoyés via des e-mails ou des messages non sollicités, et visitez manuellement les sites officiels pour vérifier.

Vous pouvez également utiliser une méthode 2FA qui utilise des clés de sécurité matérielles ou des données biométriques, car les pirates ne peuvent pas contourner ceux qui utilisent des attaques de phishing. Enfin, renseignez-vous sur toutes les nouvelles techniques de phishing utilisées par les pirates informatiques afin de mieux vous préparer. Après tout, les techniques utilisées par les pirates pour acquérir les informations d’identification des utilisateurs sont en constante évolution, et il est crucial de rester sur ses gardes.

A lire également