Phishing sur iCalendar : nouvelle campagne de vol d’informations bancaires

Phishing sur iCalendar : nouvelle campagne de vol d’informations bancaires

Une nouvelle campagne de phishing a été découverte. Elle utilise des invitations d’iCalendar — une application de calendrier indispensable pour les iPhone, les Ipad et les iPod — pour tenter de voler des informations bancaires et des identifiants des e-mails.

Les messages de la campagne comportent une pièce jointe iCalendar destinée à tromper les employés, car il s’agit d’un type de fichier rare pour le phishing. Il est donc peu probable que ces pièces jointes aient été incluses dans la formation de sensibilisation à la sécurité.

Les fichiers iCalendar sont les types de fichiers utilisés pour sauvegarder les informations de planification et d’agenda, y compris les tâches et les événements.

Pour ce cas précis, les messages de la campagne avaient pour objet « Détection de fautes à partir du centre de messagerie » et ont été émis à partir d’un compte de messagerie électronique légitime qui a été compromis par les attaquants lors d’une campagne précédente.

Comme les e-mails provenaient d’un compte réel, plutôt que d’un compte usurpé, les messages ont pu contourner les contrôles tels que ceux effectués par les protocoles DMARC, DKIM et SPF, lesquels ont été conçus pour identifier les attaques d’usurpation d’identité via la messagerie électronique où le véritable expéditeur usurpe un compte.

DMARC, DKIM et SPF vérifient si le véritable expéditeur d’un message électronique est autorisé à envoyer des messages à partir d’un domaine.

Comme pour la plupart des campagnes de phishing, les pirates utilisaient la peur et l’urgence pour amener les utilisateurs à cliquer sans penser à la légitimité de la demande.

À cette occasion, les messages comportaient un avertissement de l’équipe de sécurité de la banque indiquant que des retraits ont été effectués sur le compte qui a été marqué comme suspect.

Cette campagne était destinée aux utilisateurs de téléphones portables et les messages demandaient l’ouverture d’un fichier sur leurs appareils mobiles.

Si l’utilisateur clique sur la pièce jointe à l’e-mails, il s’est vu présenter une nouvelle entrée de calendrier intitulée « Stop Unauthorized Payment » qui comprend une URL Microsoft SharePoint. S’il visitait le lien, il était dirigé vers un site web hébergé par Google avec un kit de phishing usurpant la connexion de la banque Wells Fargo.

Ces deux sites web avaient des certificats SSL authentiques, de sorte que les victimes ne pouvaient pas les considérer comme suspects. Ils affichaient également le cadenas vert qui indiquait que la connexion entre le navigateur et le site web était chiffrée et sécurisée, comme ce serait le cas pour le site web de la banque elle-même.

L’utilisateur était ensuite invité à saisir son nom d’utilisateur, son mot de passe, son code PIN, son adresse électronique, son mot de passe de messagerie et ses numéros de compte.

Une fois que les informations étaient saisies, elles étaient capturées par le pirate informatique, puis utilisées pour accéder à leurs comptes.

Pour faire croire que la demande était authentique, les pirates faisaient en sorte que les utilisateurs étaient dirigés vers le site légitime de Wells Fargo une fois les informations transmises.

Il existe des signes avant-coureurs que la demande n’est pas authentique, qui doivent être identifiés par des personnes conscientes de la sécurité.

L’utilisation de domaines SharePoint et Google plutôt que d’un lien direct vers le site web de Wells Fargo est suspecte, la demande de ne pas ouvrir le fichier que sur un appareil mobile n’est pas expliquée.

Le site web de phishing demande également beaucoup d’informations, notamment l’adresse électronique et le mot de passe, qui ne sont pas pertinentes.

Ces indicateurs devraient suffire à faire croire à la plupart des utilisateurs que la demande n’est pas réelle, mais n’oubliez pas que tout e-mail de phishing qui contourne les défenses de filtrage du spam et est envoyé dans les boîtes de réception est un danger.

Confinement : la popularité des applications de rencontre favorise le phishing

Confinement : la popularité des applications de rencontre favorise le phishing

Une campagne de phishing qui diffuse un cheval de Troie d’accès à distance (RAT) appelé Hupigon — identifié pour la première fois en 2010 — vise les établissements d’enseignement supérieur aux États-Unis.

Le RAT Hupigon a été précédemment déployé par des groupes de menace persistante (APT ou Advanced Persistent Threats) avancés de Chine.

On pense que cette campagne n’a pas été menée par des groupes APT. Ce qui est certain, c’est que Hupigon a été reconverti par des pirates informatiques.

De nombreuses industries ont été ciblées dans le cadre de cette campagne. Il faut toutefois noter que près de la moitié des attaques ont été menées contre des lycées et des universités.

Le RAT Hupigon permet aux pirates d’installer des malwares, de voler des mots de passe et d’obtenir l’accès au microphone et à la webcam d’un appareil informatique. Ils pourraient ainsi prendre en charge la gestion complète de l’appareil infecté.

La campagne utilise des leurres de rencontres en ligne pour tromper les utilisateurs afin qu’ils puissent installer le cheval de Troie. Des e-mails ont été envoyés aux personnes cibles, montrant deux profils de rencontres d’utilisateurs supposés de la plateforme.

Le destinataire de l’e-mail est invité à sélectionner celui(celle) qu’il trouve le(la) plus séduisant(e). Lorsque l’utilisateur fait son choix, il est redirigé vers un site web où un fichier exécutable devrait être téléchargé pour pouvoir entrer en contact avec la personne qu’il a choisie. En faisant cela, il installe le RAT Hupigon.

Le choix du leurre pour cette campagne est sans doute influencé par l’énorme augmentation de la popularité des applications de rencontres en ligne pendant la pandémie du COVID-19.

Bien qu’il n’y ait pas beaucoup de rendez-vous réels en raison des mesures de confinement et de distanciation sociale qui sont actuellement adoptées dans le monde, les gens ont beaucoup de temps libre. Cette situation, associée à l’isolement social de nombreuses personnes célibataires, a entraîné une augmentation de l’utilisation des applications de rencontres en ligne.

La plupart des utilisateurs se tournent actuellement vers Zoom et FaceTime pour obtenir des rendez-vous virtuels, mais de nombreuses autres applications de rencontres populaires ont également connu une hausse d’utilisation pendant la pandémie du COVID-19.

Par exemple, selon un rapport de Tinder, l’utilisation de cette plate-forme a considérablement augmenté ces derniers temps. Lors de sa journée la plus chargée, son nombre d’abonnés est passé à 3 milliards.

Les sujets liés au COVID-19 ont été récemment très prisés par les pirates pour servir de leurres pour les attaques de phishing. Lorsqu’un événement ou une nouvelle particulière concernant la pandémie suscite de l’intérêt, les pirates informatiques en profitent.

Avec la popularité croissante des applications de rencontre en ligne, nous pouvons donc nous attendre à une augmentation du nombre de leurres sur ce thème pour duper les utilisateurs.

Le conseil aux établissements d’enseignement supérieur et aux entreprises est de s’assurer qu’une solution avancée de filtrage du spam est en place pour prévenir les messages malveillants et pour les empêcher d’arriver dans les boîtes de réception des utilisateurs finaux. Il est également crucial de dispenser des formations de sensibilisation à la sécurité pour les employés qui travaillent encore au bureau, les étudiants et les employés distants afin de leur apprendre à repérer les signes de phishing et les autres menaces lancées via la messagerie électronique.

TitanHQ peut vous aider. Si vous souhaitez mieux protéger vos employés, vos étudiants, et garder vos boîtes de réception à l’abri des menaces en un rien de temps, appelez l’équipe du TitanHQ dès aujourd’hui.

Cyberattaques dans le secteur de l’énergie : le phishing est sophistiqué

Cyberattaques dans le secteur de l’énergie : le phishing est sophistiqué

Le secteur de l’énergie connaissait des problèmes avant la pandémie mondiale, mais la propagation du COVID-19 n’a fait qu’exaspérer les industriels.

Les compagnies pétrolières ont toujours été une cible logique pour les pirates informatiques. Lorsque les temps sont favorables, ces entreprises disposent de liquidités et les attaques de ransomwares sont ainsi très rentables.

La structure de l’industrie augmente également sa vulnérabilité. En effet, le secteur de l’énergie est un réseau complexe de sites, d’entrepreneurs et de sous-traitants qui partagent des réseaux. Les travailleurs sont habitués à travailler avec des étrangers et sont donc moins protégés.

Une main-d’œuvre très dynamique et fluctuante rend également la formation à la cybersécurité presque impossible. De plus, la dépendance énergétique du monde entier donne aux pirates informatiques la possibilité de créer d’énormes perturbations à l’échelle mondiale avec leurs attaques.

Les cyberattaques ne sont pas toujours motivées par l’argent

Bien sûr, les compagnies pétrolières ne sont pas les seules à risquer d’être en manque de liquidités.

Un grand nombre d’entre elles voient leurs réserves de liquidités diminuer en raison de la conjoncture économique. Mais si les attaques de ransomwares sont en baisse, avec autant d’entreprises qui n’ont pas la capacité de payer, cela ne signifie pas que les cyberattaques ont cessé.

Depuis le mois de septembre 2019, le nombre d’attaques visant le secteur de l’énergie a augmenté chaque mois, avec plus de 13 000 signalements enregistrés jusqu’à ce jour.

Les pirates informatiques frappent le secteur lorsqu’ils sont à terre, non pas pour l’argent, mais pour l’espionnage. Le 1er avril 2020, une compagnie pétrolière basée en Algérie a été victime d’un groupe de ransomware qui a volé 500 Mo de documents confidentiels liés aux budgets, aux stratégies de l’entreprise, aux quantités de production et à d’autres informations sensibles et exclusives.

Plus tôt cette année, une organisation de piratage informatique parrainée par un État-nation a également ciblé un certain nombre de sociétés pétrolières et gazières dans le cadre d’une attaque à grande échelle.

Ces incidents et d’autres semblent être commandités par un État-Nation, car les pays se tournent actuellement vers le cyberespionnage pour atteindre leurs objectifs politiques, économiques et de sécurité nationale.

Ironiquement, certaines des compagnies pétrolières elles-mêmes pourraient être à l’origine de ces attaques dans le but d’obtenir des informations pouvant être utilisées dans les négociations à fort enjeu de l’OPEP.

Utiliser le cheval de Troie notoire « Agent Tesla » pour voler des informations

La plupart des attaques récentes contre les industries pétrolières et gazières utilisent des techniques de phishing et de spear phishing. Dans de nombreux cas, l’objectif est de tromper les utilisateurs en leur faisant cliquer sur un lien ou un document qui lance ensuite un cheval de Troie appelé Agent Tesla.

Agent Tesla est un logiciel espion (spyware) actif qui collecte et vole des informations personnelles sur la machine de la victime en capturant les frappes au clavier, en faisant des captures d’écran et en supprimant les mots de passe des navigateurs. Une fois capturées, les informations sont renvoyées à un serveur SMTP hébergé par les attaquants. Les experts en cybersécurité ont constaté une forte augmentation de son utilisation tout au long de la crise du COVID-19.

Le spyware se cache à la vue de tous depuis des années. Brian Krebs l’a signalé en 2014.

Selon Krebs, « … le site web de l’Agent Tesla et son canal d’assistance technique 24/7 (offert via Discord) est rempli de cas où le personnel d’assistance donne des instructions aux utilisateurs sur les moyens d’échapper à la détection des logiciels antivirus, d’utiliser les vulnérabilités des logiciels pour déployer la charge malveillante, et de regrouper secrètement le programme dans d’autres types de fichiers, tels que des images, du texte, de l’audio et même des fichiers Microsoft Office. »

Les attaques de phishing font preuve d’une grande attention aux détails

Comme nous le savons, les escroqueries de phishing sont de plus en plus sophistiquées. De nombreuses attaques ne sont plus caractérisées par une orthographe et une grammaire incorrectes. Les motifs de ces types d’arnaques sont beaucoup plus réalistes et séduisants également.

Par exemple, nombre des attaques lancées contre le secteur de l’énergie sont liées aux possibilités de rabais dont les entreprises peuvent profiter en ces temps de difficultés financières, comme le préachat de fournitures.

C’est ce souci du détail et des spécificités du secteur qui préoccupe les professionnels de la cybersécurité. Une des campagnes de spear phishing qui a incorporé l’Agent Tesla a eu lieu entre le 31 mars et le 12 avril. L’expéditeur présumé a invité les destinataires à soumettre des propositions d’offres pour des équipements et du matériel dans le cadre d’un véritable projet de gazoduc détenu à moitié par une compagnie pétrolière nationale égyptienne.

L’e-mail a été envoyé à plus de 150 sociétés gazières et pétrolières, situées pour la plupart en Malaisie, aux États-Unis, en Afrique du Sud et en Iran.

Au mois d’avril dernier, une autre campagne de phishing semblait provenir d’une compagnie maritime qui a utilisé des informations légitimes concernant un projet gazier aux Philippines.

Seule une personne connaissant bien l’industrie pétrolière aurait été capable de rédiger ces e-mails et de porter une attention particulière aux détails, ce qui a convaincu certains destinataires de cliquer sur le document joint, lequel se faisait passer pour une proposition d’offre officielle.

Leçons à tirer de ces attaques cybercriminelles

La fréquence et la sophistication croissantes des attaques de phishing constituent une menace réelle pour les organisations de tous les secteurs industriels. Les pirates utilisent des techniques très complexes qui ne peuvent pas être facilement identifiées par les utilisateurs lambda.

En outre, l’augmentation du nombre d’employés travaillant à distance accroît la vulnérabilité de ce genre d’utilisateurs qui sont contraints de s’isoler. Alors, comment pouvez-vous lutter contre ces menaces récentes ? Voici quelques mesures que vous pouvez adopter :

  • La sophistication croissante des attaques de phishing exige un système de sécurité des e-mails plus sophistiqué comme SpamTitan, qui comprend des outils avancés tels que la double protection antivirus et le sandboxing. SpamTitan Cloud est également une couche de sécurité supplémentaire essentielle pour protéger Office 365 contre les malwares et les attaques de type « zero day ».
  • Comme les cyberattaques ont souvent une composante courriel et web, une solution de filtrage web puissante basée sur le DNS comme WebTitan fournira une protection complète contre les menaces en ligne telles que les virus, les malwares, les ransomwares, le phishing et un filtrage complet du contenu.
  • La formation à la cybersécurité pour vos employés est plus importante que jamais, car les utilisateurs se retrouvent désormais seuls à travailler depuis des espaces de travail distants.
  • En raison de l’évolution de la structure de l’industrie d’aujourd’hui, des systèmes de sécurité basés dans le cloud sont nécessaires afin d’adapter instantanément les mesures de sécurité aux nouvelles menaces cybercriminelles.

Contactez les spécialistes de la cybersécurité de TitanHQ pour savoir comment vous pouvez mieux préparer votre entreprise aux éventuelles cyberattaques lancées via la messagerie électronique et le web.

Des attaques de phishing courantes sévissent actuellement

Des attaques de phishing courantes sévissent actuellement

Un nouveau rapport a été publié.

Il fait la lumière sur les leurres de phishing les plus courants actuellement utilisés et qui sont efficaces contre les employés. KnowBe4 a révélé qu’au cours du premier trimestre 2020, le leurre de phishing le plus courant était une notification informant le destinataire qu’il devait immédiatement effectuer une vérification de son mot de passe.

Ce leurre a représenté 45 % de tous les e-mails de phishing signalés au cours du trimestre. Le leurre est simple, mais efficace. Un hyperlien est inclus dans un e-mail qui dirige l’utilisateur vers une page web usurpée où il doit entrer son mot de passe pour Office 365.

La crise du COVID-19 a fourni aux attaquants de nouvelles opportunités de voler des mots de passe et de distribuer des malwares. Chez TitanHQ, nous avons vu une grande variété d’e-mails de phishing sur le thème du COVID-19, dont beaucoup usurpent les autorités intervenant dans le domaine du coronavirus, telles que l’Organisation mondiale de la santé (OMS) et les Centers for Disease Control and Prevention (CDC).

Ces e-mails prétendent offrir des informations importantes sur le coronavirus et des mises à jour sur les cas.

SpamTitan a bloqué des niveaux croissants de ces e-mails sur le coronavirus au cours des dernières semaines. Il n’est donc pas surprenant de voir un leurre de phishing COVID-19 en deuxième position. Ce dernier avait pour objet de faire passer le message suivant : Réseau d’alerte sanitaire du CDC : Coronavirus Outbreak Cases (cas d’éclosion du coronavirus).

Parmi les autres e-mails de phishing courants sur le thème du COVID-19, on trouve des messages concernant des réunions reportées en raison de la pandémie, des remboursements d’impôts relatifs à la COVID-19, des informations du département informatique sur le travail à domicile et des offres d’informations confidentielles sur le COVID-19. Le rapport indique qu’il y a eu une augmentation de 600 % des leurres de phishing portant sur le coronavirus au premier trimestre 2020.

Le COVID-19 avait été adoptée par les cybercriminels et utilisée dans des campagnes de phishing parce que les e-mails attirent généralement des clics. Les gens sont naturellement inquiets de la pandémie et ont besoin d’informations qu’ils peuvent utiliser pour se protéger et pour protéger leurs familles.

Les campagnes s’appuient sur la peur d’être infecté par la maladie et font appel à l’urgence pour inciter les destinataires à cliquer des liens intégrés à un e-mail sans remettre en cause la légitimité du message.

Les utilisateurs de SpamTitan et de WebTitan sont bien protégés contre ces menaces de phishing. Au début de l’année, seule une poignée de sites web malveillants de phishing portant sur le COVID-19 étaient utilisés pour le phishing et la distribution de malwares.

Aujourd’hui, SpamTitan et WebTitan bloquent des dizaines de milliers de sites web sur le thème du COVID-19 et qui sont utilisés pour diffuser des malwares ou pour voler des informations sensibles.

SpamTitan intègre deux antivirus qui peuvent bloquer les menaces de malwares connues, et un système de sandboxing pour offrir une protection contre les variantes de malwares qui n’ont pas encore été identifiées. Les pièces jointes suspectes qui n’ont pas été détectées comme malveillantes par nos deux antivirus sont envoyées dans le sandbox pour une analyse approfondie, en toute sécurité.

SpamTitan intègre également les protocoles SPF et DMARC pour bloquer les attaques d’usurpation d’identité par e-mail. En outre, une foule de mesures sont utilisées pour évaluer la légitimité des e-mails et des hyperliens qui y sont intégrés.

La clé d’une bonne cybersécurité est de mettre en place plusieurs niveaux de sécurité. En plus d’une solution avancée de filtrage du spam telle que SpamTitan, vous devriez envisager de mettre en œuvre une solution de filtrage du web basée sur le DNS telle que WebTitan pour bloquer les attaques de phishing lancées via le web.

WebTitan est une solution de filtrage web complet. Il ne permet pas aux employés de bureau et aux travailleurs à distance de naviguer sur les sites web utilisés pour le phishing et pour la distribution de malwares.

Si vous voulez vous assurer que vos employés, leurs appareils et votre réseau sont protégés contre les malwares, les ransomwares et les attaques de phishing, appelez-nous dès aujourd’hui.

SpamTitan et WebTitan peuvent être mis en œuvre et configurés en quelques minutes et assurent une protection contre les menaces liées au courrier électronique et au web.

Une attaque de phishing contourne l’authentification multifacteur d’Office 365

Une attaque de phishing contourne l’authentification multifacteur d’Office 365

Une nouvelle attaque de phishing a été identifiée.

Elle permet d’accéder à des informations sur les comptes Office 365 sans obtenir de noms d’utilisateur ni de mots de passe. La campagne parvient également à contourner les contrôles d’authentification multifacteur qui ont été mis en place pour empêcher que des informations d’identification volées soient utilisées pour accéder à distance à des comptes de messagerie électronique à partir de lieux ou de dispositifs inconnus.

La campagne tire profit du cadre OAuth2 et du protocole OpenID Connect qui sont utilisés pour authentifier les utilisateurs d’Office 365.

Les e-mails de phishing comprennent un lien SharePoint malveillant qui est utilisé pour tromper les destinataires de l’e-mail et leur faire accorder des autorisations d’application qui leur permettent d’accéder aux données des utilisateurs sans nom d’utilisateur ni mot de passe.

Les e-mails de phishing sont typiques de plusieurs autres campagnes qui abusent de SharePoint. Ils informent le destinataire qu’un fichier a été partagé avec lui et qu’il doit cliquer sur un lien pour visualiser le fichier. Dans ce cas, le fichier partagé apparaît comme un document PDF.

Le document comprend le texte « q1.bonus » qui suggère que l’utilisateur se voit offrir de l’argent supplémentaire. Cette escroquerie est particulièrement efficace si le nom de l’expéditeur a été usurpé pour faire croire que l’e-mail a été envoyé en interne par le service des ressources humaines ou par un responsable.

En cliquant sur le lien contenu dans un e-mail, un utilisateur avisé est dirigé vers une véritable URL Microsoft Online où il se verra présenter l’invite de connexion familière de Microsoft. Comme le domaine commence par login.microsoftonline.com, l’utilisateur peut croire qu’il atterrit sur un véritable site Microsoft (et c’est le cas) et qu’il est sûr de saisir ses identifiants de connexion (ce qui n’est pas le cas).

La raison pour laquelle il n’est pas sûr peut être vue dans le reste de l’URL (c’est-à-dire l’insertion des lettres « online »). Mais pour de nombreux utilisateurs non vigilants, il ne sera pas clair qu’il s’agit d’une escroquerie.

La saisie du nom d’utilisateur et du mot de passe ne fournit pas les informations d’identification à l’attaquant. En faisant cela, il s’authentifiera auprès de Microsoft et obtiendra un jeton d’accès de la plate-forme d’identité Microsoft.

OAuth2 authentifie l’utilisateur et l’OIDC délègue l’autorisation à l’application malveillante, ce qui signifie que l’application se verra accorder l’accès aux données de l’utilisateur sans jamais recevoir de justificatifs d’identité. Dans ce cas, les données d’authentification sont envoyées à un domaine hébergé en Bulgarie.

L’utilisateur est tenu de saisir à nouveau ses identifiants de connexion et l’application malveillante reçoit les mêmes autorisations qu’une application légitime. L’application pourrait alors être utilisée pour accéder aux fichiers stockés dans le compte Office 365 et pourrait également accéder à la liste de contacts de l’utilisateur, ce qui permettrait à l’attaquant de mener d’autres attaques contre l’organisation et les contacts professionnels de l’utilisateur.

La campagne de phishing a été identifiée par des chercheurs de Cofense. Ces derniers ont déjà averti que l’accès ne doit être accordé qu’une seule fois. Les jetons d’accès ont une date d’expiration, mais cette méthode d’attaque permet aux attaquants de rafraîchir les jetons, ce qui leur donne potentiellement accès aux documents et aux fichiers du compte Office 365 pour une durée indéterminée.

Grâce à l’authentification multifacteur, les entreprises peuvent se sentir immunisées contre les attaques de phishing. L’authentification multifacteur est importante, car elle empêche l’utilisation d’identifiants volés pour accéder à Office 365 et à d’autres comptes. Mais elle n’est pas infaillible, comme le montre cette campagne.

Cette campagne souligne l’importance de disposer d’une solution de sécurité de la messagerie électronique qui utilise une technologie prédictive pour identifier les nouvelles escroqueries de phishing qui n’ont jamais été vues auparavant et qui ne comportent pas de pièces jointes malveillantes. Les attaques de phishing de ce type sont susceptibles de contourner les protections antispam d’Office 365 et d’être envoyées dans les boîtes de réception, et la nature inhabituelle de cette campagne peut tromper les utilisateurs en leur permettant involontairement d’autoriser des pirates à accéder à leurs comptes Office 365.

Pour plus d’informations sur la manière dont vous pouvez sécuriser vos comptes Office 365 et bloquer les attaques de phishing sophistiquées, appelez-nous dès aujourd’hui pour savoir comment SpamTitan peut améliorer vos défenses contre la messagerie électronique.

De fausses convocations de la Cour suprême utilisées pour obtenir des identifiants Office 365

De fausses convocations de la Cour suprême utilisées pour obtenir des identifiants Office 365

Une campagne de phishing visant la Cour suprême des États-Unis a été détectée.

Elle utilise une fausse citation à comparaître devant le tribunal comme leurre pour obtenir des identifiants de connexion à Office 365.

Les e-mails sont personnalisés et sont adressés à la victime et prétendent être une assignation délivrée par la Cour suprême, exigeant que le destinataire assiste à une audience.

Il s’agit d’une campagne ciblée plutôt que d’une attaque du type de type « spray-and-pray » qui tente d’obtenir les identifiants des cibles de grande valeur telles que les cadres du niveau C.

Les e-mails comportent un lien sur lequel le destinataire est tenu de cliquer pour consulter l’assignation. En cliquant sur le lien dans l’e-mail, l’utilisateur est dirigé vers un site web malveillant où il doit entrer ses identifiants de connexion à Office 365 pour voir l’assignation.

Le domaine utilisé est tout nouveau et, en tant que tel, il n’est pas reconnu comme malveillant par de nombreuses solutions de sécurité, y compris les mesures anti-phishing par défaut d’Office 365. Les escrocs ont également utilisé de multiples redirections pour masquer l’URL de destination dans une autre tentative pour déjouer les défenses anti-phishing.

Avant que l’utilisateur ne soit dirigé vers la page de phishing, une page CAPTCHA lui est présentée. Le CAPTCHA est utilisé pour empêcher les visites sur le web par des robots, mais dans ce cas, il peut être utilisé pour ajouter de la légitimité au phishing afin que la requête paraisse authentique.

La page CAPTCHA est réelle, et l’utilisateur doit sélectionner correctement les images afin de poursuivre. La page comprend également le nom de l’utilisateur, ce qui ajoute encore plus de légitimité à l’escroquerie. En outre, le CAPTCHA peut constituer une tentative supplémentaire pour rendre difficile l’analyse de l’URL de destination par les solutions de sécurité.

Cette campagne de phishing est réaliste et utilise l’urgence pour amener l’utilisateur à agir rapidement, plutôt que de s’arrêter pour réfléchir à la demande.

Il y a des signes qu’il s’agit d’une escroquerie, comme le nom de domaine qui n’a manifestement rien à voir avec celui de la Cour suprême des États-Unis. L’e-mail renferme également quelques fautes de grammaire et d’orthographe que l’on ne s’attendrait pas à trouver dans une demande de la Cour suprême.

Cependant, le nom de l’expéditeur de l’e-mail a été usurpé pour faire croire qu’il a été envoyé par la Cour suprême. De cette manière, il est certain que la demande fasse peur à certains destinataires qui n’hésiteront donc à cliquer sur le lien. De plus, la page d’accueil est suffisamment réaliste pour tromper les employés occupés. Ces derniers sont donc plus enclins à divulguer leurs identifiants de connexion.

La protection Exchange Online (EOP), qui est fournie gratuitement par Microsoft avec tous les comptes Office 365, ne détecte souvent pas ces attaques du type « zero-day ».

Pour améliorer la protection contre les nouvelles campagnes de phishing, il faut une solution antispam qui intègre des techniques prédictives, des flux de renseignements sur les menaces et des algorithmes d’apprentissage automatique. SpamTitan intègre ces éléments et plusieurs autres couches de protection afin d’identifier les campagnes de phishing, les malwares, les ransomwares ainsi que les attaques par usurpation d’identité via la messagerie électronique.

SpamTitan peut être superposé à la protection Exchange Online de Microsoft pour servir de couche supplémentaire à vos défenses de sécurité de la messagerie électronique. Ceci, afin de garantir que davantage d’e-mails malveillants sont bloqués et n’atteignent jamais les boîtes de réception des utilisateurs finaux.

Pour plus d’informations sur SpamTitan et sur la manière dont la solution peut protéger les boîtes de réception de votre organisation contre les menaces de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.