Les leurres d’hameçonnage sur le thème des voyages ont augmenté cet été

La pandémie de Covid-19 a déjà fourni de nombreuses leçons sur la façon dont les acteurs malveillants exploitent les sujets, les événements et les catastrophes tendances pour mener des fraudes et des cyberattaques, et compte tenu de l’énorme intérêt du public pour les vacances au Royaume-Uni, associé à la reprise de certains voyages internationaux limités, il n’est pas surprenant de voir que les cybercriminels se sont tournés vers des attaques sur le thème des voyages. selon de nouvelles données produites à l’unité de recherche de l’unité 42 de Palo Alto Networks.

Dans un rapport récemment publié, Anna Chung et Swetha Balla de l’Unité 42 ont mis en lumière la prévalence des leurres de phishing sur le thème des voyages utilisés pour voler des données, des informations d’identification de compte et des informations financières, et comment l’équipe a travaillé avec des tiers pour les supprimer.

« Les cybercriminels sont toujours à la recherche de moyens de piéger les victimes potentielles en utilisant l’ingénierie sociale pour exploiter les tendances en vogue », a déclaré Chung. « Maintenant, ils cherchent à exploiter le fort désir des gens de voyager, qui a été supprimé pendant une longue période de temps en raison de Covid.

« Pour mener des activités d’ingénierie sociale, les auteurs de menaces ont toujours exploité des domaines et des URL malveillants usurpant l’identité de marques connues et de sites Web familiers aux utilisateurs finaux. Le contenu servi sur ces domaines ou URL malveillants est conçu pour induire en erreur les utilisateurs finaux, car ils ressemblent beaucoup aux marques que les utilisateurs connaissent.

« Alternativement, les auteurs de menaces envoient également des e-mails de phishing aux utilisateurs finaux pour les inciter à télécharger des pièces jointes malveillantes ou à cliquer sur des liens qui mènent à du contenu malveillant – pages de sites Web ou pièces jointes. Les acteurs de la menace utilisent des thèmes qui invoquent un sentiment d’urgence, tels que les factures impayées, ou attirent émotionnellement l’utilisateur final, tels que les e-mails sur le thème des voyages envoyés à mesure que le monde s’ouvre.

Chung et ses collègues ont analysé une mine d’URL de phishing sur le thème des voyages enregistrées entre octobre 2019 et août 2021, et ont constaté qu’à partir de début 2021, une tendance à la hausse progressive des nouvelles URL malveillantes, avant une frénésie alimentaire vers la fin du mois de juin, culminant avec plus de 6 000 nouvelles URL créées chaque jour.

Beaucoup de ces URL, qui comprenaient des mots-clés tels que « compagnie aérienne » et « vacances », ont servi de moyen d’inciter les gens à télécharger le célèbre infostealer Dridex à partir de liens Dropbox contaminés. Unit 42 a ensuite travaillé avec Dropbox pour supprimer ces liens et désactiver le compte associé.

Mais les acteurs malveillants n’ont pas cessé de cibler les voyageurs. L’unité 42 a également vu des acteurs de la menace utiliser des services tels que Firebase, hébergé par Google Cloud Storage, pour héberger leurs pages et distribuer des spams malveillants ciblant les travailleurs de l’industrie du voyage.

Firebase est facile à exploiter car les acteurs malveillants peuvent l’utiliser pour tirer parti de la réputation de son hôte afin de contourner les protections de messagerie standard, et certaines des organisations ciblées par les applications Web hébergées par Firebase cette année incluent des marchés de location en ligne, des chaînes hôtelières, des sociétés de gestion de centres de villégiature et des compagnies aériennes. Unit 42 a ensuite travaillé avec Google pour que ces URL de phishing particulières lancent le service.

Les données volées par le biais d’attaques sur le thème des voyages sont susceptibles d’avoir été utilisées à plusieurs fins, selon l’Unité 42. Chung a déclaré que les cybercriminels sont motivés à monétiser les données qu’ils volent, qu’il s’agisse d’informations d’identification volées, de détails clients ou d’informations de carte de crédit, en les vendant à d’autres sur des marchés du dark web, ou en les utilisant pour mener un vol d’identité ou d’autres cyberattaques, voler et revendre des points de fidélité de compagnies aériennes ou d’hôtels, ou faire des réservations de voyage frauduleuses.