Evilginx, la nouvelle génération de phishing (trop) efficace et redoutable

Paradmin

En 2023, près d’une entreprise française sur deux (49%) a déclaré avoir subi au moins une cyberattaque “réussie” au cours des 12 derniers mois, un nombre en augmentation comparée à l’année 2022 (45%). Pour 60% d’entre elles, soit la technique la plus utilisée par les cyberattaquants, cette attaque était du phishing , que ce soit du spear phishing, du smishing, ou encore du vishing. Ces attaques ne sont pas sans conséquences : vol d’informations personnelles ou sensibles (identifiants bancaires, logs), piratage de compte, ou encore pertes financières.

Dans un tel contexte où les cybermenaces évoluent constamment, les hackers développent des techniques de plus en plus sophistiquées pour compromettre la sécurité d’utilisateurs, d’entreprises ou d’organisations. Parmi ces cybermenaces, Evilginx se distingue comme un outil très efficace et très redoutable, capable de contourner n’importe quelle forme d’authentification multifacteur (MFA). Malheureusement très utilisé dans les campagnes de phishing, Evilginx est devenu un outil puissant dont les conséquences ne sont pas sans risques.

Qu’est ce que Evilginx ?

En résumé, Evilginx est un outil de phishing avancé, largement utilisé dans les campagnes de phishing pour contourner le MFA. Il fonctionne comme un proxy de type man-in-the-middle (MITM), permettant aux attaquants d’intercepter et de manipuler les données entre les utilisateurs et les sites web légitimes : identifiants de connexion, cookies de sessions et autres informations sensibles. 

Généralement, Evilginx est utilisé dans des attaques appelées Attacker-in-the-Middle (AiTM), une forme avancée de phishing qui est capable de déjouer ces fameuses double -authentification, censées nous protéger face à tout accès non autorisé en ligne.

Quelle est la différence avec du phishing « classique » ?

Les tentatives de phishing “classiques” et celles menées par Evilginx sont belles et bien différentes.

Dans du phishing dit classique, les cybercriminels reproduisent des modèles HTML similaires à des pages de connexion que l’on utilise comme sur Outlook, Linkedin, notre banque, etc. en imitant leur apparence de manière la plus réaliste possible. Leur objectif est de tromper la victime pour qu’elle saisisse ses identifiants de connexion, qui sont ensuite subtilisées et enregistrées par les attaquants. 

Avec Evilginx, au lieu d’afficher de simples modèles similaires, le cybercriminel met en place un site de phishing qui imite parfaitement un site légitime. Lorsqu’un utilisateur entre ses identifiants de connexion et son code d’authentification multifacteur (MFA), Evilginx va intercepter ces informations et les transmettre en temps réel au véritable site. L’utilisateur va donc être redirigé sur le vrai site sans se douter de rien, alors que l’attaquant a accès en même temps au compte sans avoir été détecté.

En quelque sorte, Evilginx est un relais entre l’utilisateur piégé et le véritable site internet, tout en collectant toutes les données transmises entre les deux parties.

Pourquoi la double authentification ne fonctionne pas ?

Un détail important à noter est que Evilginx intercepte également les tokens de session générés après l’authentification. Lorsque la victime saisit ses informations de connexion et qu’elle doit fournir son code de double authentification, elle recevra bel et bien son code mais sans savoir que Evilginx se trouve toujours au milieu

Comment ça marche ? En fait, à chaque authentification à double facteur, un token est généré sous la forme d’un cookie, et ce cookie est intercepté par Evilginx puis enregistré. Et c’est ça qui permet à l’attaquant de contourner la protection habituelle du MFA.

Et malheureusement, à ce stade, le cybercriminel possède tout pour se connecter aux comptes de la victime, sans jamais être intercepté par l’authentification à double facteur.

À titre d’exemple, un attaquant peut créer une fausse page de connexion imitant celle d’une banque. Lorsque la victime saisit son nom d’utilisateur, son mot de passe et son code MFA, l’attaquant (en utilisant Evilginx comme proxy) transmet ces informations au véritable site de la banque. Et une fois l’authentification réussie, l’attaquant intercepte les cookies de session, qu’il peut ensuite réutiliser pour se faire passer pour la victime lors de futures connexions avec la banque, même après la vérification de la double authentification.

Comment se protéger contre Evilginx ?

Il est vrai que ce proxy malveillant peut faire peur de par sa presque invisibilité, mais il y a des façons simples de s’en protéger.

1. Vérifier le domaine du site web

Ce que Evilginx ne pourra jamais faire, c’est avoir le même nom de domaine que le site web réel. Il sera toujours légèrement différent car les attaquants doivent enregistrer leur propre domaine, c’est pourquoi il faut toujours vérifier la légitimité du domaine du site web dans la barre d’adresse.

Par exemple, si un attaquant cible LinkedIn, il pourrait enregistrer comme nom de domaine linkediin.com ou llnkedin.com au lieu du vrai nom de domaine : linkedin.com.

2. Utiliser une clé de sécurité U2F

Une autre manière de se protéger est d’utiliser une clé de sécurité U2F (Universal Second Factor), qui est l’une des méthodes les plus sécurisées pour l’authentification à deux facteurs. Il s’agit d’une clé de sécurité physique pour la MFA qui offre une sécurité supplémentaire en ligne. 

Elle fonctionne de la manière suivante : la clé communique directement avec le site web, et si elle remarque une différence entre le nom de domaine de la barre d’adresse et le nom de domaine du vrai site web, alors la communication est interrompue.

3. Se former et se sensibiliser aux cybermenaces

Le vrai risque d’Evilginx est qu’il ne suffit que d’un seul employé piégé pour compromettre l’ensemble de l’entreprise et toutes ses données confidentielles. C’est pourquoi il est très important de les former et de les sensibiliser face aux risques du phishing pour éviter toute faille de sécurité dans l’entreprise

Chez GottaPhish, nous proposons justement des formations à des fins de sensibilisation car nous considérons qu’un grand nombre de cyberattaques pourraient être évitées si les employés étaient plus formés. 

Nous proposons à la fois des outils de phishing pour que des mails personnalisés soient envoyés aux employés, ainsi que des formations courtes et longues sur des plateformes d’e-learning adaptées aux besoins de chacun. 

N’hésitez pas à aller voir nos outils de sensibilisation !

Publications similaires

Faux CAPTCHA : quand cliquer pour “prouver que vous êtes humain” installe un malware

Paradmin

Sur Internet, les CAPTCHA sont devenus familiers : cocher une case, sélectionner des feux de circulation ou taper des lettres déformées, tout cela pour prouver qu’on n’est pas un robot. Mais récemment, des cybercriminels ont détourné cette mécanique bien connue pour faire passer discrètement des malwares. Une attaque simple, mais redoutablement efficace Des chercheurs en…

Proxy malveillant : quand les hackers vous espionnent sans que vous le sachiez

Paradmin

Surfer sur Internet peut parfois donner l’impression d’être en sécurité, surtout quand on utilise des connexions sécurisées, des mots de passe complexes, ou un VPN. Et pourtant, une menace plus discrète mais tout aussi dangereuse se cache derrière certains services apparemment anodins : les proxies malveillants. Ces outils, à première vue techniques, sont utilisés dans…

Le Phishing : Comment Fonctionne Cette Arnaque et Pourquoi Elle Fait Encore Tant de Victimes

Paradmin

Recevoir un mail qui ressemble parfaitement à celui de votre banque ou d’un service comme Google, vous invitant à “sécuriser votre compte” ? Il y a de fortes chances que ce soit une tentative de phishing, ou hameçonnage en français. Le phishing est aujourd’hui l’une des techniques de cyberattaque les plus répandues, et aussi l’une…

Les attaques par IDN, une menace presque invisible

Paradmin

Nous savons tous que le premier réflexe pour éviter le phishing en ligne est de vérifier le nom de domaine du site web. Avec un coup d’œil, il est possible de voir que linkedinn.com ou gooogle.com ne sont pas les vrais noms de domaines (respectivement linkedin.com et google.com). Mais les cybercriminels sont passés à l’étape supérieure…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *