Dans tous les exemples visuels ci-dessous, l’adresse électronique à partir de laquelle le courriel a été envoyé semblait parfaitement légitime et contenait les "bonnes" adresses, ce qui rend la détection et l’identification beaucoup plus difficiles pour l’utilisateur moyen qui reçoit ces courriels.

33 817 attaques par courriel observées au cours des deux derniers mois
iCloud est le service le plus utilisé
D’autres services ont été utilisés : PayPal, Google Docs, Sharepoint, Fedex, Intuit, etc.

Aavanan, une société de Check Point Software, met en garde contre l’évolution des attaques de phishing qui s’appuient désormais sur des entreprises et des services populaires pour infiltrer les boîtes de réception des internautes.

Baptisée "Phishing Scams 3.0", cette méthode implique que les attaquants utilisent des services légitimes pour exécuter leur attaque. Dans ce type d’escroquerie, la victime reçoit un courriel d’un service tout à fait légitime, tel que PayPal ou Google Docs, qui contient un lien vers un site malveillant.

Les cybercriminels se sont fait passer pour PayPal, Google Docs, Sharepoint, Fedex, Intuit, iCloud et bien d’autres encore.

Comment cela fonctionne-t-il ?
1. Le pirate crée un compte gratuit sur PayPal (par exemple).
2. Le pirate trouve des adresses électroniques à qui envoyer des messages.
3. Le pirate crée une fausse facture qui indique que l’utilisateur a été facturé ou que quelque chose est sur le point d’être renouvelé.
4. Le pirate clique sur "envoyer".

Les chiffres
Au cours des deux derniers mois de février et mars, nos chercheurs ont constaté un total de 33 817 attaques par courrier électronique, usurpant l’identité d’entreprises et de services légitimes et populaires.

Citation : Jeremy Fuchs, porte-parole d’Avanan, une société de Check Point :
Les attaques de type "Business email compromise" (BEC) ont encore évolué. Une attaque BEC traditionnelle repose sur la capacité à ressembler à une personne influente au sein d’une entreprise ou à un partenaire externe de confiance. Plus tard, les attaques ont évolué vers une méthode dans laquelle l’attaquant compromet un compte appartenant à une organisation ou à l’organisation d’un de ses partenaires, et l’utilise pour s’insérer dans des fils de courriels légitimes, répondant comme s’il s’agissait d’employés. Aujourd’hui, nous assistons à quelque chose de tout à fait nouveau, où les attaquants utilisent de véritables services légitimes pour mener leur attaque. Dans ce type d’escroquerie, la victime reçoit un courriel d’un service tout à fait légitime (par exemple, PayPal, Google Docs) qui contient un lien vers un site malveillant. Au cours des deux derniers mois de février et mars, nos chercheurs ont constaté un total de 33 817 attaques par courrier électronique, usurpant l’identité d’entreprises et de services légitimes et populaires. Nous appelons ce nouveau type de cyberattaque "Phishing Scams 3.0", ou BEC Firm Impersonation. Il est important de noter que ces sites populaires n’ont rien de malveillant et ne présentent aucune vulnérabilité. Au contraire, les pirates utilisent la légitimité de ces services pour s’introduire dans la boîte de réception. Je recommande vivement aux utilisateurs de mettre en place une authentification à deux facteurs et d’utiliser des filtres de messagerie pour se protéger contre ce type d’attaques.

Conseils de cybersécurité :
1. Utiliser des protections anti-phishing
2. Sensibiliser et former les employés
3. Séparer les tâches
4. Étiqueter les courriels externes

Exemples :
Ici, le pirate a ajouté un commentaire dans Google Sheets. Tout ce que le pirate doit faire est de créer un compte Google gratuit. Il peut ensuite créer une feuille Google et mentionner la cible visée. Le destinataire reçoit une notification par courriel.

Pour l’utilisateur final, il s’agit d’un courriel assez classique, surtout s’il utilise Google Workspace. (Et même si ce n’est pas le cas, c’est typique, car de nombreuses organisations utilisent Google Workspace et Microsoft 365).

Voici un autre exemple, qui utilise cette fois Google Docs.

Il provient d’un expéditeur légitime, Google. L’URL, script.google.com, est également légitime dès la première analyse. Cela s’explique par le fait que ce domaine est légitime.

Cependant, lorsque vous cliquez dessus, vous êtes redirigé vers un faux site de crypto-monnaies. Ces faux sites de crypto-monnaies fonctionnent de plusieurs manières. Il peut s’agir de sites d’hameçonnage, où les informations d’identification sont volées. Il existe également toute une série d’autres options, qu’il s’agisse de vol pur et simple ou de minage de crypto-monnaies.

Dans tous les exemples cités, l’adresse électronique à partir de laquelle le courriel a été envoyé semblait parfaitement légitime et contenait les "bonnes" adresses, ce qui rend la détection et l’identification beaucoup plus difficiles pour l’utilisateur moyen qui reçoit ces courriels.