Le ciblage de listes de diffusion utilisées par les entreprises pour atteindre leurs clients est une technique couramment utilisée par les cybercriminels, cette technique offrant de nombreuses possibilités de spamming et de phishing, entre autres formes d’arnaques sophistiquées. L’accès à des outils considérés fiables pour l’envoi de mail en masse participe d’autant plus à augmenter le taux de réussite de ces attaques. C’est pourquoi les acteurs de la menace tentent fréquemment de compromettre des comptes d’entreprises auprès de fournisseurs de services de messagerie électronique (ESP). Au cours de leurs recherches, les experts de Kaspersky ont découvert une campagne de phishing optimisant cette méthode d’attaque en recueillant les informations d’identification d’utilisateurs de SendGrid et en envoyant des e-mails de phishing directement par l’intermédiaire de ce fournisseur.

En envoyant des messages de phishing directement par l’intermédiaire de l’ESP, les attaquants augmentent leurs probabilités de réussite, en capitalisant sur la confiance des destinataires dans les communications provenant de sources familières. Les mails en question s’affichent comme provenant de SendGrid, et expriment des inquiétudes quant au niveau de sécurité des utilisateurs en les invitant à activer l’authentification à deux facteurs (2FA) pour sécuriser leur compte. Cependant, le lien fourni redirige les destinataires vers un site web frauduleux imitant la page de connexion de SendGrid, où leurs informations d’identification sont recueillies.
ESPsendgrid.jpeg

Un exemple de courriel de phishing

Aux yeux de tous les outils d’analyse d’e-mails, les messages concernés semblent parfaitement légitimes, envoyés par les serveurs de SendGrid avec des liens valides pointant vers le domaine de SendGrid. La seule chose qui peut alerter le destinataire est l’adresse de l’expéditeur. En effet, les ESP y affichent normalement le domaine et l’ID d’envoi du client. Un signe révélateur de la fraude est le domaine « sendgreds » du site de phishing mentionné dans ces communications malveillantes, très proche du nom de domaine légitime « sendgrid » à première vue, ce qui constitue un signe d’avertissement discret mais significatif.

Ce qui rend cette campagne particulièrement insidieuse, c’est que les mails de phishing diffusés parviennent à contourner les mesures de sécurité traditionnelles. Comme ils sont envoyés par l’intermédiaire d’un service légitime et qu’ils ne présentent pas de signes évidents d’hameçonnage, ils peuvent échapper à la détection des filtres automatiques.

« L’utilisation d’un fournisseur de services de messagerie électronique fiable est importante pour la réputation et la sécurité de votre entreprise. Cependant, certains acteurs de la menace ont appris à imiter des services fiables. Il est donc essentiel de vérifier les mails que vous recevez scrupuleusement et, pour une meilleure protection, d’installer une solution de cybersécurité fiable », commente Roman Dedenok, expert en sécurité chez Kaspersky.

Les auteurs d’attaques de phishing utilisent généralement des comptes détournés, car les fournisseurs de messagerie électronique soumettent leurs nouveaux clients à des vérifications rigoureuses, tandis que ceux ayant déjà utilisé leurs services sont déjà considérés comme « fiables ».