Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Focus sur les menaces d’hameçonnage liées au coronavirus

mars 2020 par Barracuda Networks

Alors qu’une grande partie du monde se retrouve paralysée par le nouveau coronavirus COVID-19, et se met en ordre de bataille pour le maîtriser, les cybercriminels profitent de l’omniprésence médiatique du COVID-19 pour piéger les courriels et semer le trouble sur la Toile.

Chez Barracuda, les chercheurs ont constaté une augmentation significative du nombre d’attaques de courriers électroniques liées au COVID-19 depuis janvier, mais ils ont aussi observé depuis fin février un pic de ce type d’attaque, en hausse de 667 %.

Entre le 1er et le 23 mars, Barracuda Sentinel a détecté 467 825 escroqueries par e-mail de type hameçonnage personnalisé, dont 9 116 étaient liées à COVID-19, soit environ 2 % des attaques. En comparaison, un total de 1 188 attaques via courrier électronique liées au coronavirus a été enregistré en février, contre seulement 137 en janvier. Bien que le total de ces attaques demeure encore faible comparativement aux autres menaces, le danger s’accroît rapidement.

Menace grandissante

Phishing lié au Coronavirus - Diverses campagnes de phishing surfent sur le battage médiatique actuel relatif au COVID-19 pour infecter des terminaux avec des logiciels malveillants, voler des identifiants et extorquer de l’argent. Les cybercriminels utilisent des techniques de phishing et d’escroquerie couramment utilisées, un nombre croissant de campagnes de malware utilisent néanmoins le coronavirus comme leurre pour tenter de tromper des internautes distraits en tirant parti de la peur et de l’incertitude de leurs victimes. Le FBI a récemment émis une alerte sur ce type d’attaques.

Analyse détaillée

Les chercheurs de Barracuda ont identifié trois principaux types d’attaques de phishing utilisant les thèmes du coronavirus COVID-19 : l’escroquerie, l’usurpation d’identité de marque et la compromission des courriers électroniques professionnels. Parmi les attaques liées au coronavirus et détectées par Barracuda Sentinel jusqu’au 23 mars, 54 % étaient des escroqueries, 34 % des attaques d’usurpation d’identité, 11 % du chantage et 1 % des compromissions de courriers électroniques professionnels.

Les tentatives de phishing utilisant le COVID-19 comme prétexte deviennent rapidement plus sophistiquées. Ces derniers jours, les chercheurs de Barracuda ont vu apparaître un nombre important d’actes de chantage et quelques cas de détournement de conversation. En comparaison, quelques jours avant, on observait surtout des attaques de type escroquerie.
Au 17 mars, si l’on se penche plus en détail sur le phishing relatif au coronavirus détecté par Barracuda Sentinel, 77% étaient des escroqueries, 22% des usurpations de marque et 1 % une compromission de courrier électronique professionnel. Nous nous attendons d’ailleurs à ce que cette dynamique de sophistication des attaques se poursuive.

Les objectifs de ces attaques allaient de la dissémination de logiciels malveillants au vol d’identifiants, en passant par le gain financier. Un nouveau type de rançongiciel que nos systèmes ont détecté a même pris le nom de COVID-19 et s’est baptisé CoronaVirus. Les attaquants compétents savent comment augmenter la portée de leurs tentatives de phishing en jouant sur des déclencheurs émotionnels, c’est aussi observable dans les campagnes de “sextorsion” actuelles où les cybercriminels exploitent l’embarras et la peur de leurs victimes pour leur extorquer de l’argent. Grâce à la peur, l’incertitude et les élans de solidarité engendrés par la situation sanitaire actuelle, les cyber attaquants ont trouvé des émotions clés à exploiter.

Par exemple, nous avons observé une tentative de chantage où le cybercriminel prétendait avoir accès à des informations personnelles sur la victime, prétendait savoir où elle se trouvait, et menaçait de contaminer la victime et sa famille au coronavirus à moins qu’une rançon ne soit payée. Barracuda Sentinel a détecté cette attaque particulière 1 008 fois sur une période de deux jours.

Escroqueries

Nombre des arnaques détectées par Barracuda Sentinel visaient à vendre des remèdes contre le coronavirus ou des masques de protection, ou bien concernaient des levées de fond dans de fausses entreprises qui prétendaient développer des vaccins. Les escroqueries sous forme de demandes de dons à de fausses organisations caritatives sont une autre méthode d’hameçonnage populaire détectée par les chercheurs de Barracuda permettant de tirer profit du coronavirus.

Par exemple, une des escroqueries de ce type détectée par les systèmes Barracuda prétend provenir de la “Communauté Mondiale de la Santé” (qui n’existe pas mais essaie peut-être de tirer parti de sa ressemblance avec l’Organisation Mondiale de la Santé) et invite les internautes à faire des dons via un portefeuille Bitcoin mentionné dans le courriel.

Malware

Divers logiciels malveillants courants sont distribués par le biais du phishing lié aux coronavirus, en particulier des variantes adaptatives qui permettent aux attaquants de déployer différentes charges utiles par le biais du même logiciel malveillant. Le premier logiciel malveillant signalé comme utilisant le coronavirus est Emotet, un cheval de Troie bancaire populaire, qui est devenu modulaire l’année dernière. IBM X-Force a découvert qu’Emotet était distribué dans des courriels japonais en prétendant provenir d’un fournisseur d’aide sociale aux handicapés. Les e-mails de phishing contenaient dans ce cas un document qui téléchargeait et installait Emotet lorsque les macros (Microsoft Office) étaient activées, une pratique courante pour la distribution de logiciels malveillants de nos jours.

LokiBot est un autre malware modulaire, qui vise souvent à voler des identifiants et des données et a été distribué dans au moins deux campagnes de phishing différentes liées au coronavirus que Comodo (éditeur américain de logiciels de sécurité basé en Californie) a suivies. L’une des campagnes utilisait le principe de factures en pièce jointe, qui contenaient LokiBot, mais ajoutait des excuses liées au coronavirus pour le retard dans l’envoi de la facture. L’autre campagne prétendait être une mise à jour et "1 chose à faire absolument" (reposant sur le principe bien connu de "l’astuce bizarre et efficace pour...” commune aux spams), qui contenait un lien vers le logiciel malveillant. Les systèmes Barracuda ont vu de multiples exemples de courriels utilisant le principe de la facture, comme celui ci-dessous, qui a été détecté plus de 3 700 fois.

Parmi les autres cybercriminels qui tirent profit de COVID-19, citons AzorUlt, logiciel malveillant qui est distribué à partir d’un site de phishing prétendant être une carte des foyers de contamination et TrickBot, qui circule parmi les e-mails de phishing italiens.

Vol d’identité

En plus de la collecte généralisée de justificatifs d’identité à partir de logiciels malveillants voleurs d’informations, les attaques de phishing avec des liens vers des pages de connexion usurpées utilisent également le coronavirus COVID-19 comme leurre. L’une de ces variantes, que les systèmes Barracuda ont identifié, prétend provenir du CDC (Center of Disease Control américain) et tente de voler les identifiants Microsoft Exchange lorsque le lien malveillant est cliqué. Un exemple d’e-mail et de page de phishing sont présentés ci-dessous.

Une grande variété de pages d’accueil de courrier électronique sont couramment usurpées, ciblant les utilisateurs de portails de courrier électronique auxquels les attaquants sont habitués lorsque ces informations de serveur de courrier électronique peuvent être collectées par les cyberattaquants. D’autres pages de connexion sont plus génériques ou offrent de multiples options dont celle d’usurper différentes pages de connexion. Les attaquants se contentent de modifier le thème du courriel d’hameçonnage existant pour tirer parti du coronavirus.

Comment vous protéger ?

Bien que les courriers électroniques de phishing utilisant le coronavirus soient nouveaux, les mêmes précautions de sécurité s’appliquent toujours à la messagerie électronique.

• Méfiez-vous des courriels qui tentent de vous inciter à ouvrir des pièces jointes ou à cliquer sur des liens. Les solutions anti-malware et anti-phishing peuvent être particulièrement utiles pour empêcher les e-mails et les charges utiles malveillantes d’atteindre les destinataires visés ; mais même avec de telles protections en place, il faut toujours être prudent car aucune solution ne peut prévenir tous les risques.

• Faites attention à toute communication prétendant provenir de sources dont vous ne recevez habituellement pas de courrier électronique. Il s’agit probablement de tentatives d’hameçonnage. Bien qu’il soit désormais courant de recevoir des courriers électroniques liés au coronavirus provenant de listes de distribution légitimes auxquelles vous avez adhéré, les courriers électroniques provenant d’organisations dont vous ne recevez pas régulièrement de messages doivent être examinés avec la plus grande vigilance. Par exemple, le CDC n’enverra pas de courriels à des personnes qui ne reçoivent pas régulièrement des courriels de leur part.

• Faites preuve de prudence avec les courriels émanant des organisations avec lesquelles vous communiquez régulièrement. L’usurpation de marque est assez répandue dans les attaques de courriers électroniques liées aux coronavirus. Soyez donc prudent lorsque vous ouvrez des courriers électroniques provenant d’organisations dont vous vous attendez à recevoir des nouvelles. Cela est particulièrement vrai pour les professionnels de la santé, qui sont la cible de cyberattaques visant à tirer parti de la pression résultant de la gestion d’un afflux constant de cas de coronavirus.

• Trouvez des organismes de bienfaisance crédibles et faites des dons directement. Une tactique courante des escroqueries liées aux coronavirus consiste à demander des dons pour aider les personnes touchées par la pandémie. Pour éviter d’être victime de l’une de ces attaques, ne répondez pas aux demandes de dons envoyées par courrier électronique. Trouvez plutôt des organisations caritatives crédibles qui participent aux efforts de lutte contre le coronavirus sur le terrain et faites des dons directement par leur intermédiaire pour vous assurer que les fonds aboutissent là où ils peuvent faire le bien plutôt que de tomber entre les mains d’escrocs. Il est également très peu probable que des organisations caritatives légitimes acceptent des dons par l’intermédiaire de portefeuilles Bitcoin, ce qui devrait être un signal d’alarme dans les courriers électroniques.




Voir les articles précédents

    

Voir les articles suivants