Les plateformes de collaboration cloud telles qu'Adobe, DocuSign, Dropbox, Canva et Zoho sont exploitées dans les attaques de phishing en raison de leur adoption généralisée

Un nouveau rapport d'étude menée par Cofense révèle que les plateformes populaires de collaboration et de partage de fichiers dans le cloud, telles qu'Adobe, DocuSign, Dropbox, Canva et Zoho, sont utilisées à mauvais escient dans des attaques de phishing. 8,8 % de toutes les campagnes d'hameçonnage d'informations d'identification en 2024 ont utilisé ces sites web. Comme il s'agit de domaines de confiance, couramment utilisés par le public et par les entreprises pour leurs documents internes, de nombreuses passerelles de messagerie sécurisée (SEG) autorisent automatiquement les liens vers ces sites à entrer dans les boîtes de réception des utilisateurs.

La sécurité du cloud reste l'un des défis majeurs des professionnels de la cybersécurité. Un rapport de Zscaler en 2023 a montré que 98,6 % des entreprises interrogées dans son étude ont des problèmes de mauvaise configuration dans leurs environnements de cloud computing qui peuvent entraîner des risques critiques pour leurs données et leur infrastructure. Les erreurs de configuration du cloud liées à l'accès public aux buckets de stockage, aux permissions de compte, au stockage et à la gestion des mots de passe, et plus encore, ont conduit à l'exposition de milliards d'enregistrements.

En outre, un rapport de Fortra en 2024 a énuméré les principales attaques que craignent les équipes de sécurité. L'étude avait révélé que la plupart des organisations considéraient que le phishing (81 %), les logiciels malveillants et les ransomwares (76 %), et la perte accidentelle de données (63 %) comme principaux risques de sécurité pour l'année 2024, suivis par l'ingénierie sociale (55 %) et les risques liés à des tiers (52 %).

Plus récemment, un nouveau rapport d'étude menée par Cofense révèle que les plateformes populaires de collaboration et de partage de fichiers dans le cloud, telles qu'Adobe, DocuSign, Dropbox, Canva et Zoho, sont utilisées à mauvais escient dans des attaques de phishing en raison de leur adoption généralisée par les entreprises et les particuliers. Le rapport montre que 8,8 % de toutes les campagnes d'hameçonnage d'informations d'identification en 2024 ont utilisé ces sites web. Parmi les campagnes exploitant ces sites de documents en ligne, 79 % de tous les cas contenant ces domaines étaient des attaques d'hameçonnage d'informations d'identification.


Comme il s'agit de domaines de confiance, couramment utilisés par le public et par les entreprises pour leurs documents internes, de nombreuses passerelles de messagerie sécurisée (SEG) autorisent automatiquement les liens vers ces sites à entrer dans les boîtes de réception des utilisateurs. Certains services envoient également des notifications automatiques aux utilisateurs lorsqu'un document est partagé, ce qui donne l'impression que les tentatives d'hameçonnage sont légitimes.

Les chercheurs notent également que certains services, comme DocuSign, ont des caractéristiques qui profitent involontairement aux attaquants, comme les mécanismes d'expiration des liens qui entravent les enquêtes post-attaque.

Dropbox est le service le plus ciblé par ces attaques, représentant 25,5 % de tous les services d'hébergement de documents en ligne abusés. Adobe et SharePoint viennent ensuite, chacun représentant 17 % des services d'hébergement abusifs. DocuSign arrive en troisième position avec un peu plus de 16 %, tandis que Google Docs représente 11 %. Zoho ne représente que 4 %, bien que le service ait connu un pic important d'attaques en décembre de l'année dernière.

Ce rapport de Cofense permet de mieux comprendre pourquoi les attaques sont de plus en plus difficiles à détecter. Pour citer des chiffres, un rapport de Netwrix en 2022 a révélé que le délai moyen de détection de la plupart des types d’attaques s’est allongé depuis 2020. Le ralentissement le plus important a été observé du côté des compromissions de la chaine d'approvisionnement : en 2020, 76 % des répondants détectaient ce type d’attaque en quelques minutes ou en quelques heures, mais en 2022, seuls 47 % le détectent aussi rapidement. Il est également devenu plus difficile de repérer les ransomwares : 86 % des organisations avaient besoin de quelques minutes ou heures pour détecter les ransomwares en 2020, contre 74 % en 2022.

Voici les principales conclusions du rapport de Cofense :

Les acteurs de la menace abusent de la confiance dans les plateformes de collaboration cloud

Les acteurs de la menace évoluent constamment avec de nouveaux mécanismes pour contourner les multiples passerelles de messagerie sécurisée (SEG). L'utilisation de documents en ligne, tels qu'Adobe, DocuSign, Dropbox, Canva et Zoho, est un mécanisme spécifique permettant d'échapper à la détection. Ces services sont souvent utilisés en interne et en externe par les entreprises, ce qui fait de ces domaines une source fiable lorsqu'il s'agit de l'automatisation des SEG.

Ces sites Web de documents représentaient 8,8 % de toutes les campagnes d'hameçonnage d'informations d'identification en 2024, ce qui montre l'importance croissante de cette méthode. Parmi les campagnes utilisant ces sites de documents en ligne, 79 % de toutes les observations contenant ces domaines étaient des cas d'hameçonnage d'informations d'identification.

Il s'agit de domaines de confiance, car ils sont couramment utilisés par le public et pour les documents internes des entreprises. Par conséquent, de nombreux SEG autorisent automatiquement ces liens à entrer dans les boîtes aux lettres électroniques des utilisateurs. Certains de ces services envoient même directement un courrier électronique au destinataire du document, ce qui permet aux auteurs de menaces de consacrer peu d'efforts à leurs campagnes.

Les services d'hébergement de documents en ligne les plus courants au cours de l'année 2024 sont DocuSign, Google Documents, Adobe, Canva, Dropbox et Zoho. Cela est déterminé par les domaines utilisés dans les campagnes, à savoir docusign[.]net, docs[.]google[.]com et drive[.]google[.]com, adobe[.]com, sharepoint[.]com, canva[.]com, dropbox[.]com et zoho[.]com, respectivement.


DocuSign

DocuSign n'est pas seulement couramment usurpé dans le paysage de l'hameçonnage d'informations d'identification, mais aussi couramment utilisé de manière abusive par les acteurs de la menace. En 2024, DocuSign représentait un peu plus de 16 % de tous les services d'hébergement de documents en ligne utilisés de manière abusive. DocuSign est également l'un des domaines les plus courants à utiliser un code QR dans le document, ce domaine représentant 6 % de tous les liens d'hameçonnage d'informations d'identification contenant un code QR.

Cela est probablement dû au fait que DocuSign est un service de partage de documents populaire et qu'il est couramment utilisé par les ressources humaines, ce qui incite les SEG à faire automatiquement confiance à ce domaine. DocuSign tente de supprimer ces campagnes ; cependant, DocuSign dispose de fonctionnalités qui peuvent aider les acteurs de la menace.

Par exemple, les liens DocuSign peuvent expirer après un seul clic, ce qui envoie un autre lien DocuSign au destinataire initial et empêche l'analyse post-incident par les intervenants ou les analystes des centres d'opérations de sécurité (SOC). De plus, lorsqu'un document est partagé avec un utilisateur, DocuSign envoie un courriel à l'utilisateur, ce qui peut compliquer le blocage des courriels par les SEG.


Google Docs

Google est l'un des domaines Internet les plus populaires, offrant de nombreux services d'hébergement de fichiers, tels que Google Docs, Google Drive et Google Sheets. Cependant, des acteurs menaçants ont profité de la confiance aveugle que de nombreux SEG accordent à Google, en envoyant des documents Google aux utilisateurs dans le but de les diriger vers des pages d'hameçonnage d'informations d'identification. Les liens vers des documents Google ne représentent que 11 % de tous les services d'hébergement de documents en ligne exploités en 2024 ; toutefois, il est important de souligner que Google Docs est plus souvent considéré comme un moyen de diffuser des logiciels malveillants par le biais d'un lien intégré.

Google tente de supprimer ces comptes, mais le document reste généralement en ligne pendant un certain temps, à moins qu'il ne soit spécifiquement signalé par un utilisateur. En outre, les acteurs de la menace peuvent partager des fichiers Google Document par l'intermédiaire de Google, ce qui rend plus difficile le blocage de l'adresse électronique par les SEG, puisqu'elle est bien connue.

Adobe

Adobe est une marque incontournable sur l'internet depuis des décennies et, par conséquent, de nombreuses personnes font confiance au domaine Adobe. Adobe permet l'hébergement de fichiers PDF, et c'est sur ce point que les acteurs de la menace se concentrent pour gagner non seulement la confiance de l'utilisateur, mais aussi celle du SEG.

Adobe est à peine plus populaire que DocuSign, étant utilisé pour un peu plus de 17 % de tous les services d'hébergement de documents en ligne utilisés de manière abusive en 2024. Adobe s'efforce de supprimer ces PDF ; cependant, en raison de l'extrême trafic que connaît Adobe du fait de sa popularité, les suppressions de PDF peuvent prendre des jours, et le site d'hameçonnage d'informations d'identification est souvent supprimé avant le lien initial d'Adobe.

SharePoint

En raison de l'extrême popularité des services et produits Microsoft dans les environnements de travail et à la maison, SharePoint est une option extrêmement populaire pour les acteurs de la menace. Étant donné que les produits tels que SharePoint sont très répandus dans les environnements de travail, la plupart des SEG autorisent ces courriels à entrer dans les boîtes de réception des utilisateurs. De nombreux acteurs de la menace se font même passer pour un collègue ou une autre entreprise pour inciter les utilisateurs à cliquer sur le lien SharePoint qui...