En juin, nous évoquions comment des hackers envoyaient des e-mails de phishing directement depuis QuickBooks.
Voici comment ça marchait : Un hacker ouvre un compte gratuit dans QuickBooks, crée une fausse facture, que ce soit pour Norton ou Microsoft, et l’envoie ensuite à l’utilisateur.

Créé dans QuickBooks, l’e-mail semble légitime. Les antivirus d’e-mail détectent un domaine QuickBooks légitime. Comme QuickBooks figure sur la plupart des listes d’autorisation de sites légitimes, l’e-mail passe sans problème. C’est ce qu’on appelle la Route Statique. Cette pratique consiste à pirater des sites Web figurant sur des listes d’autorisation statiques pour accéder à la boîte de réception.

Cette « route » est très prisée des pirates informatiques et nous l’avons décrite en détail.
Nous avons découvert une autre méthode qu’utilisent les pirates pour entrer dans la boîte de réception : ils créent de fausses factures dans PayPal et utilisent la légitimité du site pour accéder à la boîte de réception.
Depuis juin 2022, les chercheurs d’Avanan ont observé que des pirates utilisaient PayPal pour envoyer des factures malveillantes et solliciter des paiements. Ces derniers envoient l’e-mail depuis le domaine de PayPal, depuis un compte PayPal gratuit auquel ils se sont inscrits, tandis que le contenu de l’e-mail usurpe des marques comme Norton. Dans cette note d’information relative aux attaques, Avanan analysera comment les pirates exploitent des sites Web légitimes et très fréquentés pour se glisser dans les boîtes de réception et voler des identifiants et de l’argent.

L’attaque

Dans cette attaque, les pirates créent des comptes dans PayPal, puis envoient des factures malveillantes et des demandes de paiement directement depuis ce service.
• Vecteur : Email
• Type : Récupération des identifiants :
• Techniques : Double Lance, Imitation de marque
• Cible : Tout utilisateur final

Email

Dans cette attaque, les acteurs de la menace utilisent la légitimité de PayPal pour accéder à la boîte de réception
Email Exemple #1

Dans cette attaque, les pirates créent des comptes PayPal. Ensuite, ils se servent de ses fonctionnalités pour créer une facture. Dans cette vidéo, vous pourrez voir comment les pirates modifient le nom de l’entreprise, insèrent de faux numéros de téléphone et affichent la fausse facture de Norton. À partir de là, les pirates peuvent envoyer la facture à plusieurs utilisateurs à la fois.

Techniques

Les pirates ont recours à une association d’ingénierie sociale et de sites légitimes pour soutirer de l’argent et des identifiants de connexion. C’est ce que nous avons vu récemment avec QuickBooks, et maintenant avec PayPal. Cela peut se faire sur n’importe quel site de confiance qui soit utilisé régulièrement. PayPal et QuickBooks sont particulièrement astucieux car ils sont fréquemment utilisés pour les factures d’entreprise. L’arnaque fonctionne puisque les listes d’autorisation statiques « autorisent » le contenu de ces sites directement à partir de la boîte de réception. C’est une façon de condenser internet pour les antivirus. Il est impossible de bloquer l’ensemble du réseau Internet ; il faut donc essayer de déterminer les sites que l’on sait fiables. Les sites Web de confiance comme PayPal sont souvent retenus, même s’il s’agit d’une marque souvent usurpée. Ce qui rend cette attaque effrayante, c’est que les factures de phishing sont créées et envoyées par PayPal. Ainsi, elles sont plus légitimes aux yeux du service de sécurité et de l’utilisateur final.
Pour les pirates, ce processus ne pourrait pas être plus simple. Ils utilisent le domaine de PayPal pour entrer dans la boîte de réception. Ils utilisent des tactiques classiques d’ingénierie sociale pour envoyer une notification de facture et inciter l’utilisateur à agir. Cette attaque fonctionne à cause de ce que les pirates du dark web appellent un double harpon :
• Faire en sorte que l’utilisateur appelle le numéro de téléphone indiqué
• Obliger l’utilisateur à payer la facture

Non seulement ils ont votre e-mail, mais ils ont aussi votre numéro de téléphone, qui pourra servir à de futures attaques. Et, bien sûr, ils ont votre argent.
Avanan a informé PayPal de cette attaque le 19 juillet.

Les meilleures pratiques : Conseils et recommandations

Pour se défendre de ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :
• Avant d’appeler un service inconnu, recherchez le numéro sur Google et vérifiez vos comptes pour voir s’il y a effectivement eu des frais.
• Mettre en place une sécurité avancée qui vérifie plus d’un indicateur pour déterminer si un e-mail est authentique ou non.
• Inciter les utilisateurs à demander au service informatique s’ils ne sont pas sûrs de la légitimité d’un e-mail.