Le télétravail dû à la pandémie du corona virus a incité les hackers à intensifier leur travail et surtout à developper de nouvelles stratégies de piraterie en ligne. C’est ainsi qu’une campagne de phishing ciblée a tenté de voler les informations d’identification cPanel des utilisateurs
Les utilisateurs de cPanel sont la cible d’une nouvelle stratégie de phishing qui utilise un faux avis de sécurité pour les inciter à leur livrer leurs informations d’identification.
En principe, cPanel fournit aux utilisateurs d’hébergement Web partagé une interface utilisateur graphique (GUI) basée sur Linux et un panneau de contrôle qui simplifie la gestion des sites Web et des serveurs.
En réalité ces faux avis de sécurité était bien conçu et utilisé dans un langage qui donnait vraiment l’impression qu’il provenait de l’entreprise elle-même. Ils vous l’envoient en vous signalant qu’un tiers dans un pays étranger connait votre mot de passe et vous suggère de le changer pour plus de sécurité.
En principe, dans leur avis, les cybercriminels à l’origine de l’attaque de phishing ciblée ont averti leurs futurs victimes que des mises à jour avaient été publiées pour résoudre les problèmes de sécurité dans les versions (qu’ils précisent d’eux-mêmes) de cPanel et WHM.
Au bas de leur avis de sécurité, les attaquants ont expliqué pourquoi cPanel n’avait pas publié de déclaration officielle sur les problèmes de sécurité abordés par les mises à jour, en ces termes:
«L’équipe de sécurité de cPanel a identifié les problèmes de sécurité résolus. Il n’y a aucune raison de croire que ces vulnérabilités ont été portées à la connaissance du public. En tant que tel, cPanel ne publiera que des informations limitées sur les vulnérabilités pour le moment. Une fois que suffisamment de temps s’est écoulé, permettant aux systèmes cPanel et WHM de se mettre automatiquement à jour vers les nouvelles versions, cPanel publiera des informations supplémentaires sur la nature des problèmes de sécurité. »
Pour rendre leur campagne de phishing ciblée plus légitime, les attaquants peuvent également enregistrer le domaine par exemple “ cpanel7831.com ” et peuvent utilisé le service de messagerie simple d’Amazon (SES) pour envoyer les e-mails aux utilisateurs de cPanel et WHM.
Si un utilisateur tombait sous le coup de l’arnaque et cliquait sur le bouton «Mettre à jour vos installations cPanel et WHM», il était acheté sur un site Web qui les invitait à se connecter en utilisant ses informations d’identification cPanel. Heureusement, la page de destination de phishing a depuis été supprimée et redirige maintenant vers une recherche Google pour le mot-clé cPanel.
En définitive, pour ceux qui ont été victimes de cette arnaque, il est fortement recommandé de vous connecter à votre fournisseur d’hébergement Web et de modifier le mot de passe de votre compte, puis effectuer un audit complet de votre site et ensuite de rechercher tous les fichiers PHP étranges que peuvent utiliser les pirates comme moyen pour vous dérober.
En général, il y’a lieu de dire que plus le temps passe, plus les pirates développent des stratégies pour faire plus de victimes en ligne, il importe donc à chaque utilisateur d’être prudent, vigilent et de s’imprégner des mesures de sécurité adéquates.