Chasse aux listes de distribution

Les cybercriminels envoient des messages d’hameçonnage pour pirater les comptes d’ESP.

Il est particulièrement inquiétant d’entendre les consommateurs dire qu’ils n’intéressent pas les cybercriminels, et les choses s’aggravent lorsque ce sont les patrons des PME qui tiennent le même discours. En négligeant leur protection de base, ils font le bonheur des pirates informatiques puisque leurs cibles ne sont pas toujours celles que l’on pourrait croire. D’ailleurs, nous avons reçu il y a peu un e-mail qui est tombé dans notre piège et qui pourrait très bien illustrer cette situation : un message d’hameçonnage qui cherche à pirater le compte d’un fournisseur de services de messagerie électronique (ESP) pour créer une liste de distribution.

Hameçonnage du service de messagerie

L’arnaque débute par l’envoi d’un message à un employé de l’entreprise pour confirmer le paiement de l’abonnement à un ESP. Le lien du message est censé permettre au destinataire de télécharger un justificatif de paiement. Si le destinataire est bel et bien un client de l’ESP (et l’hameçonnage s’en prend aux vrais clients), il va très probablement cliquer sur le lien afin d’en savoir plus sur ce paiement anormal.

Même si l’hyperlien semble rediriger vers la page de l’ESP, il ouvre un site complètement différent. Les victimes qui suivent le lien arrivent sur un faux site qui ressemblent énormément à la page de connexion officielle.

Deux pages de connexion. La fausse est à gauche.

Deux pages de connexion. La fausse est à gauche.

Nos lecteurs savent que toutes données saisies sur cette fausse page de connexion sont directement envoyées aux cybercriminels à l’origine de cette arnaque. Il convient toutefois de souligner qu’en plus de cette adresse erronée, le faux site utilise un canal non protégé pour transmettre les données recueillies. Les escrocs n’ont pas pris la peine de copier le CAPTCHA même s’ils ont tout de même ajouté un exemple dans le champ de l’e-mail. Il devrait aussi y avoir un drapeau en bas à droite. La plupart des utilisateurs ne remarque pas ces différences.

Pourquoi est-il dangereux de ne plus pouvoir accéder à son compte d’ESP

Dans le meilleur des cas, les cybercriminels vont envoyer des spams à votre liste de clients après avoir pris le contrôle de votre compte d’ESP. Les listes de distribution propres à l’industrie se vendent plus cher sur le marché noir qu’une simple collecte aléatoire d’adresses e-mails. En connaissant le domaine de travail de l’entreprise les escrocs peuvent plus facilement personnaliser les spams.

Étant donné que les cybercriminels sont les spécialistes de l’hameçonnage, il est fort probable que toutes les personnes qui figurent dans les listes volées reçoivent un message d’hameçonnage qui aurait soi-disant été envoyé par l’entreprise. Ainsi, que ce soit parce que le destinataire est abonné à la newsletter ou parce que c’est un client, il va certainement ouvrir le message, le lire, et cliquer sur le lien. L’expéditeur ne semble pas suspect.

Méthodes de camouflage

Nous avons étudié le message d’hameçonnage de plus près et avons découvert qu’il a été envoyé depuis un autre service de messagerie (le concurrent de l’ESP depuis lequel il aurait soi-disant été envoyé). Vous pouvez lire l’article « Hameçonnage et services d’emailing marketing » pour comprendre la logique de cette décision. Curieusement, pour que la campagne dure plus longtemps, les cybercriminels ont même créé une page d’accueil pour leur « entreprise de marketing ». Le titre de la page, Simple House Template, n’est tout de même pas très convaincant.

Page d’accueil de la fausse « entreprise de marketing ».

Cet exemple nous laisse croire que les escrocs connaissent très bien les mécanismes de plusieurs services de messagerie et qu’ils pourraient s’en prendre aux clients d’autres ESP.

Comment se protéger de l’hameçonnage

Suivez ces quelques conseils de base pour ne pas tomber dans le piège :

  • Ne cliquez pas sur les liens des messages inattendus, surtout si on vous demande de vous connecter à un service. Même si le message semble légitime, ouvrez votre navigateur et saisissez manuellement le nom du site.
  • Vérifiez la sécurité du site. Si votre navigateur ne reconnaît pas le site comme sûr alors quelqu’un pourrait intercepter votre identifiant et votre mot de passe.
  • Apprenez à détecter les signes habituels d’hameçonnage puis formez toute votre équipe. Inutile de préparer les cours vous-même ; nos plateformes de formation en ligne ont été créées à ces fins.
  • Utilisez des solutions spécialisées pour filtrer les spams et les messages d’hameçonnage que vous recevez sur votre adresse e-mail professionnelle.
  • Installez et mettez à jour les solutions de sécurité de tous les appareils pour que même si quelqu’un clique sur un lien d’hameçonnage, le danger soit écarté.
Conseils