Une nouvelle campagne de phishing est en cours. Repérée par la société de cybersécurité Vade le 4 avril 2023, elle vise des entreprises sur le sol français avec des adresses mails personnalisées pour chaque cible. Plus de 1 000 messages piégés ont déjà été envoyés. Certains parviennent à accéder à l’adresse des cadres, voire du PDG. « L’attaquant reprend le nom de l’entreprise dans l’expéditeur. Parfois, les malfaiteurs ajoutent des termes comme ‘it’ pour usurper l’équipe informatique » précise Antoine Morel, expert en cybersécurité chez Vade, à Numerama.
L’employé reçoit un mail lui informant que son mot de passe Microsoft 365 va expirer, l’esthétique du service professionnel est parfaitement copiée. Jusque-là, c’est un schéma classique.
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Un lien est indiqué pour garder ou changer le mot de passe actuel. C’est là où l’opération devient plus sophistiquée, puisque les malfaiteurs se servent d’une faille de YouTube pour utiliser le nom de domaine de la plateforme vidéo comme relais entre le mail et la page de phishing. Un lien YouTube bien réel est caché dans le message. Une fois que l’on clique dessus, on est directement redirigé vers une copie de Microsoft. « Cette technique permet d’intégrer un hyperlien frauduleux et potentiellement repérable par le filtre anti-spam du mail à un URL YouTube légitime » ajoute Antoine Morel.
Les malfaiteurs sont allés jusqu’à intégrer un captcha de Cloudflare pour rendre leur piège encore plus tangible. La victime, invitée à entrer son adresse mot de passe, ne recevra naturellement aucun mail en retour.
Un nom de domaine hébergé en Russie
Les liens YouTube sont utilisés depuis longtemps pour tromper les algorithmes de sécurité des services mails. Malgré les mises à jour de la plateforme vidéo, les pirates parviennent encore à trouver de nouvelles méthodes. Vade constate par ailleurs dans son enquête que le site frauduleux intégré n’a pas été pour l’instant catégorisé comme malveillant par Google ou d’autres sociétés en cybersécurité. Il n’y aucun logiciel malveillant derrière ces mails, les données sont « simplement » envoyées aux pirates. Ces derniers les revendront ou s’en serviront pour une future attaque.
Le nom de domaine est hébergé sur un serveur en Russie. Généralement, les malfaiteurs évitent de dévoiler leur localisation, mais cela peut aussi signifier que les pirates sont bien russes et ne se fatiguent même plus à cacher leur emplacement.
Si vous tombez sur des mails d’expiration de mot de passe de votre entreprise et que vous avez un doute sur son origine, commencez par regarder le nom de domaine du site sur lequel vous allez entrer votre combinaison. Il est recommandé aussi d’envoyer un mail directement à votre service informatique pour demander les délais d’expirations et si le dernier message est légitime. Cela demande quelques minutes, mais évite de ruiner sa boite.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
