Des utilisateurs de Dropbox escroqués en remettant leurs identifiants via une page de phishing envoyée par SSL

Table des matières

• Des utilisateurs de Dropbox escroqués en remettant leurs identifiants via une page de phishing envoyée par SSL
• Le modus operandi
• Pages de connexion servies sur une page web utilisant un protocole sécurisé

Des utilisateurs de Dropbox escroqués en remettant leurs identifiants via une page de phishing envoyée par SSL

Après la fuite massive de 700 000 identifiants et mots de passe d’utilisateurs de Dropbox, que Dropbox nie avoir été volés de ses serveurs, les gens sont méfiants quant à la sécurité de Dropbox.

Il se trouve qu’un nouveau style de vol d’identifiants Dropbox a émergé. Les cybercriminels essaient de voler des identifiants pour Dropbox et les services de messagerie web en ayant créé une fausse page de connexion qui est hébergée sur le site de partage de fichiers, profitant de son protocole sécurisé. Cette escroquerie a été découverte par Symantec.

Le modus operandi

Comme d’habitude, les victimes potentielles reçoivent un e-mail avec un sujet indiquant qu’il est « Important » d’une partie connue (qui a également été victime). L’e-mail est censé contenir un gros fichier qui ne peut être consulté que via Dropbox. Une fois que la victime clique sur le lien, elle est dirigée vers une page clone de Dropbox où elle est invitée à entrer ses identifiants Dropbox.

Le problème avec cette page clone de Dropbox est qu’elle est servie sur un site web sécurisé contenant les mots https avant l’url et contient en outre une réplique exacte du logo Dropbox. Cela amène la victime à croire qu’elle est sur la véritable page Dropbox et à remettre ses identifiants aux cybercriminels. L’image ci-dessous est celle de la dite page et peut tromper même un utilisateur prudent.

Pages de connexion servies sur une page web utilisant un protocole sécurisé

Dès que le bouton « se connecter » est cliqué, le nom d’utilisateur et le mot de passe saisis dans les champs de connexion sont envoyés à un script PHP sur un serveur compromis, déclare Nick Johnston de Symantec dans un article de blog.

La stratégie maîtresse des cybercriminels d’utiliser un protocole sécurisé pour héberger leur site cloné néfaste fonctionne dans la plupart des cas. L’envoi des données à la machine accessible par les escrocs est également effectué en utilisant le protocole sécurisé, ce qui ne suscite aucune suspicion chez la victime. Sinon, puisque la fausse page est accessible via une connexion cryptée, le navigateur web informerait qu’un canal de communication non sécurisé est utilisé pour livrer les données, avertissant qu’il pourrait être intercepté et lu par un tiers.

Johnston ajoute dans son article de blog que toutes les ressources de la page de phishing ne sont pas livrées via SSL. Les éléments non sécurisés sont marqués dans la partie supérieure gauche du navigateur web, qui affichera un cadenas différent dans la barre d’adresse indiquant que certaines parties de la page ne sont pas sécurisées. Cependant, voir le cadenas et le https au début de la page est suffisant pour la plupart des utilisateurs et cela les met à un plus grand risque.

« La fausse page de connexion est hébergée sur le domaine de contenu utilisateur de Dropbox (comme les photos partagées et d’autres fichiers) et est servie via SSL, rendant l’attaque plus dangereuse et convaincante », déclare le chercheur.

Ce n’est pas le premier cas d’abus du service de stockage cloud de Dropbox. Fin août, une campagne de phishing par SMS (smishing) a été observée s’appuyant sur la même méthode, la différence étant que les escrocs livraient une fausse page Facebook clonée.

*Cependant, compte tenu de l’ampleur des fuites récentes qui ont frappé le cyberespace la semaine dernière, la discrétion des utilisateurs est conseillée pour éviter de tomber dans de tels pièges.