Comment les attaquants utilisent IPFS dans les attaques de hameçonnage
L'IPFS offre des services d'hébergement décentralisés et peu coûteux. N'importe qui peut télécharger des fichiers - y compris des sites web - vers l'IPFS, où ils sont accessibles en fonction du hachage du fichier ou via une passerelle IPFS.
Grâce à l'IPFS, un cybercriminel peut mettre en place une infrastructure d'hameçonnage sans l'héberger lui-même. Les pages web hébergées sur l'IPFS sont statiques et ont la capacité d'exécuter JavaScript. En outre, la conception de l'IPFS rend très difficile la recherche de ces pages d'hameçonnage, ce qui les rend plus difficiles à supprimer.
Comment fonctionnent les attaques d'hameçonnage IPFS
Un site de hameçonnage hébergé sur l'IPFS est très similaire à un site de hameçonnage hébergé sur une infrastructure traditionnelle, et le processus d'exécution d'une attaque de hameçonnage sur l'IPFS est similaire aux attaques de hameçonnage traditionnelles. Voici quelques-unes des étapes clés du processus :
- Créer un site de hameçonnage : L'attaquant crée une page de hameçonnage qui imite un site web légitime. Différents outils sont disponibles pour créer ces pages "lookalike".
- Téléchargement IPFS : Après avoir créé le site de hameçonnage, l'attaquant télécharge le contenu vers l'IPFS. Une fois téléchargée, cette page web est accessible sur la base d'une valeur de hachage unique, qui sert d'adresse.
- Propagation du lien : Les attaquants diffusent l'adresse de la page web malveillante via différents canaux, tels que le courrier électronique, Telegram ou les médias sociaux.
- Interaction avec l'utilisateur : Lorsque l'utilisateur clique sur le lien IPFS, son navigateur web contacte une passerelle IPFS, qui lui donne accès aux fichiers enregistrés sur l'IPFS. Cela permet au navigateur web d'accéder au site de hameçonnage basé sur l'IPFS et d'en assurer le rendu.
- Collecte de données : Le site de hameçonnage sera conçu pour collecter des informations sensibles. Par exemple, l'utilisateur peut être incité à entrer ses identifiants de connexion, des informations sur sa carte de crédit ou d'autres données sensibles dans la page web. La page envoie ensuite ces informations à l'attaquant, qui peut les utiliser pour d'autres attaques.
Une fois que l'attaquant a collecté suffisamment de données sensibles, il peut supprimer la page d'hameçonnage hébergée sur l'IPFS. Il est donc beaucoup plus difficile pour les victimes de retrouver la source de l'attaque par hameçonnage.
Atténuer les attaques d'hameçonnage de l'IPFS
L'hébergement de sites de hameçonnage sur l'IPFS n'est qu'un autre moyen pour un cybercriminel de construire l'infrastructure nécessaire à une campagne de hameçonnage et d'échapper à la détection. Un grand nombre des meilleures pratiques utilisées pour prévenir les attaques de hameçonnage traditionnelles s'appliquent également à ces attaques de hameçonnage IPFS :
- Éducation de l'utilisateur : Comme d'autres attaques de hameçonnage, les attaques de hameçonnage IPFS sont conçues pour inciter l'utilisateur à cliquer sur un lien malveillant et à saisir des informations dans une page de hameçonnage. Former les utilisateurs à identifier ces pages d'hameçonnage et à répondre correctement aux tentatives d'hameçonnage peut réduire le risque que ces campagnes d'hameçonnage représentent pour l'organisation.
- Une authentification multifacteurs (MFA) : Souvent, les attaques par hameçonnage IPFS visent à voler les identifiants de connexion, ce qui permet à l'attaquant d'accéder au compte de l'utilisateur sur le site usurpé. La mise en œuvre de l'AMF rend plus difficile l'utilisation par un pirate de ces informations d'identification volées puisqu'il doit également accéder à un autre facteur d'authentification.
- URL Filtrage : La navigation vers des pages de hameçonnage hébergées sur l'IPFS nécessite de passer par une passerelle IPFS. Si une organisation n'a pas de raison légitime d'accéder au contenu IPFS, le blocage du trafic vers l'URL de la passerelle IPFS empêche les utilisateurs de naviguer vers ces sites de hameçonnage.
- des renseignements sur les menaces : Un cybercriminel utilisera probablement le même contenu sur l'IPFS pour plusieurs attaques de hameçonnage. Les flux de renseignements sur les menaces peuvent fournir des informations sur les adresses IPFS malveillantes, ce qui permet à une organisation de bloquer ces éléments spécifiques de contenu malveillant.
- URL Analyse : Les URL des pages de hameçonnage IPFS ont généralement une structure définie et pointent vers une page de hameçonnage. Les solutions de sécurité web peuvent identifier ces URL et pages de hameçonnage et empêcher les utilisateurs d'y accéder.
IPFS hameçonnage Protection avec ThreatCloud IA
L'utilisation de l'IPFS pour héberger des contenus d'hameçonnage n'est qu'un autre exemple de l'utilisation par les cybercriminels de nouvelles méthodes pour rendre leurs attaques d'hameçonnage plus difficiles à détecter et à prévenir. L'IPFS permet à un attaquant de mettre en place à peu de frais une infrastructure d'hameçonnage et peut accroître la difficulté d'identifier ces attaques et d'y remédier.
Check PointLe moteur IA de ThreatCloud offre une protection solide contre les attaques de hameçonnage IPFS. ThreatCloud L'IA identifie les schémas IPFS suspects et d'autres indicateurs d'attaques de hameçonnage et utilise ces informations pour empêcher le contenu de hameçonnage IPFS d'atteindre le destinataire prévu.
Check Point Harmony Email & Collaboration offre une protection de pointe contre les attaques par hameçonnage et est reconnu comme leader dans la 2023 Forrester Wave for Enterprise Email Security. Découvrez comment Harmony Email & Collaboration peut protéger votre entreprise contre le hameçonnage IPFS et d'autres menaces en vous inscrivant dès aujourd'hui à une démonstration gratuite.
Commentaires