Pour vous faire cliquer sur un lien malveillant ou vous inciter à communiquer des informations sensibles comme vos identifiants, les hackers malveillants à l’origine de campagnes de hameçonnage se révèlent particulièrement imaginatifs. Dans une alerte récente, les Anglais du National Cyber Security Centre (NCSC), l’équivalent de l’Anssi française, rappellent les formes sophistiquées que peuvent prendre les attaques par hameçonnage.
Les pirates russes et iraniens intensifient leur campagne d’espionnage visant les politiciens, les fonctionnaires et les activistes britanniques, a averti le GCHQ (@NCSC). Avec de la recherche #APT de Proofpoint dans cet article du @Telegraph. https://t.co/GhMIufVgzf
— Loïc Guézo (@lguezo) January 30, 2023
Recherches approfondies
Dans des campagnes récentes observées par le NCSC, de nombreux liens malveillants sont par exemple conçus pour ressembler à des services de cloud ou des outils collaboratifs couramment utilisés, comme OneDrive, Google Drive et d’autres plateformes de partage de fichiers. Dans un cas, les attaquants ont même organisé un appel Zoom avec la victime, puis envoyé une URL malveillante dans la barre de discussion pendant l’appel. Ils ont également créé plusieurs autres personnages, tous contrôlés en réalité par les attaquants, pour tromper leur cible.
Ces attaques ciblées, du harponnage, débutent tout d’abord par des recherches approfondies. Les attaquants utilisent des informations publiques, par exemple celles disponibles sur les réseaux sociaux et les plateformes de réseautage, pour en savoir le plus possible sur leurs cibles, y compris leurs contacts professionnels et personnels. Il est également fréquent que des attaquants créent de faux profils sur les réseaux sociaux pour rendre leurs approches plus convaincantes.
Patience
Ces attaquants sont également très patients. Ils prennent le temps d’établir une relation avec leurs cibles et ne demandent pas immédiatement de cliquer sur un lien ou d’ouvrir une pièce jointe malveillante. Au lieu de cela, ils établissent lentement un climat de confiance. Ce processus commence généralement par un premier courriel d’apparence anodine, souvent lié à un sujet qui, grâce à une préparation méticuleuse, a de fortes chances d’intéresser et de retenir l’attention de la cible.
Les attaquants envoient ensuite des courriels à leur cible, parfois pendant une longue période, jusqu’à ce qu’ils aient établi le niveau de confiance nécessaire pour que la victime n’ait aucun scrupule à ouvrir un lien ou une pièce jointe. Le lien malveillant est envoyé sous l’apparence d’un document ou d’un site web intéressant et pertinent pour la victime – par exemple, une invitation à une conférence ou un agenda – qui redirige la victime vers un serveur contrôlé par l’attaquant, un mode opératoire dénoncé récemment par un journaliste de Libération.
Comment @Yubico m’a évité d’être piraté par les services iraniens, un thread :
Le 14 septembre, je reçois sur WhatsApp une invitation à un sommet organisé à Abou Dhabi par un think tank libanais. Je suis surpris mais tout a l’air legit. pic.twitter.com/qKH2l5NRuk
— Pierre Alonso (@pierre_alonso) December 7, 2022
Campagnes attribuées à la Russie et l’Iran
Lorsque la victime saisit son nom d’utilisateur et son mot de passe pour accéder au lien malveillant, ces informations sont aussitôt envoyées aux attaquants, qui peuvent alors exploiter les e-mails et les autres comptes de la victime. Comme le rappelle le NCSC, les attaquants peuvent alors surveiller le trafic de la messagerie ou accéder à sa liste de contacts, autant d’informations exploitées ensuite pour mener de nouvelles attaques par hameçonnage.
Toujours selon l’agence britannique, ces campagnes sophistiquées sont l’œuvre de cyberattaquants basés en Russie et en Iran, qui visent à voler des informations d’identification et de s’introduire dans des systèmes sensibles. Ces campagnes ne sont pas liées, mais les tactiques employées se recoupent, tout simplement parce qu’elles sont efficaces. « Nous encourageons vivement les organisations et les particuliers à rester vigilants pour se protéger en ligne », alerte Paul Chichester, directeur des opérations du NCSC.
Vigilance et protection
Outre une vigilance accrue, le NCSC recommande d’utiliser un mot de passe fort pour sécuriser son compte de messagerie, distinct des mots de passe de vos autres comptes, pour éviter des rebonds ultérieurs de l’attaquant en cas de compromission du premier mot de passe.
Un autre moyen de protéger votre compte contre ces attaques par hameçonnage consiste à activer l’authentification multifactorielle, qui peut empêcher les pirates d’accéder à votre compte même s’ils connaissent votre mot de passe. Vous devez enfin protéger votre appareil et votre réseau en téléchargeant les dernières mises à jour de sécurité, une façon d’empêcher les pirates d’exploiter les vulnérabilités logicielles connues pour lancer des attaques ou accéder à votre compte.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));