25.01.2022 - La semaine dernière, le NCSC a continué de recevoir un grand nombre d'annonces. Représentant plus de 35 % des cas enregistrés, les signalements relatifs à des courriels de menace envoyés au nom d'autorités de poursuite pénale sont les plus fréquents. Le NCSC a également été informé de l'existence de courriels d'hameçonnage qui paraissent au premier abord très ciblés. Les arnaques au président sont de plus en plus personnalisées et une prétendue action «give away» de la NASA promettait de doubler immédiatement les montants versés par les victimes.
Attaques par hameçonnage ciblées?
La semaine dernière, une entreprise a informé le NCSC d'une tentative d'hameçonnage qui semblait à première vue particulièrement ciblée. Les attaquants ont tenté d'obtenir les données d'accès de la messagerie électronique d'un collaborateur. En cliquant sur le lien contenu dans le courriel frauduleux, l'utilisateur est redirigé vers une page web sur laquelle une fenêtre contextuelle affiche son adresse électronique et l'invite à saisir son mot de passe. En arrière-plan apparaît grisé le site Internet de l'entreprise. Les attaques par hameçonnage sont d'ordinaire réalisées en masse. Une tentative aussi spécifique est donc plutôt inhabituelle, ce qui a alarmé l'entreprise, qui craignait d'être victime d'une attaque ciblée.
Il est toutefois rapidement apparu que le lien de la page d'hameçonnage contenait l'adresse électronique du collaborateur concerné. Si cette adresse électronique était remplacée, par exemple, par une adresse qui contient le nom de domaine d'un fournisseur de services de messagerie, la page grisée en arrière-plan changeait et affichait la page d'accueil du fournisseur en question. Cette tentative d'hameçonnage ne cachait donc pas une attaque ciblée, mais un petit script capable de reconnaître le domaine de l'adresse électronique du destinataire et d'afficher la page de ce domaine en arrière-plan. Ainsi, bien que les pirates envoient les courriels de manière indifférenciée, la page d'hameçonnage semble malgré tout très ciblée.
Les comptes de messagerie sont particulièrement attrayants pour les cybercriminels, car les adresses électroniques permettent d'accéder à un grand nombre de services en ligne. En effet, la plupart des services Internet offrent la possibilité à leurs utilisateurs de demander l'envoi par courriel d'un lien de réinitialisation de mot de passe. Pour les pirates, ce lien est le sésame vers les services en question. La possession des informations de connexion d'une messagerie donnant indirectement accès à divers services Internet qui y sont reliés, il n'est pas étonnant que ce type d'attaques soient particulièrement fréquentes.
- Si possible, mettez en place une authentification à deux facteurs. Celle-ci offre un niveau de protection supplémentaire contre le piratage, notamment dans les cas où des escrocs auraient obtenu l'accès à votre compte de messagerie.
- Ne saisissez jamais des données personnelles telles que des mots de passe ou des données de carte de crédit sur une page web à laquelle vous avez accédé en cliquant sur un lien dans un courriel ou un SMS.
Arnaque au président ciblée à l'aide d'un profil WhatsApp avec photo
Le NCSC reçoit de nombreuses annonces concernant des arnaques au président. En règle générale, les escrocs cherchent systématiquement sur des sites publics d'entreprises le nom et l'adresse électronique du directeur général et du responsable des finances. S'ils trouvent ces informations, les cybercriminels falsifient l'adresse du directeur général et envoient au service financier un courriel en son nom contenant un ordre de paiement urgent. Les textes utilisés sont très peu spécifiques et généralement identiques. Jusqu'à présent, les escrocs ne se donnaient pas beaucoup de peine pour personnaliser les messages en fonction de leurs cibles.
Dans deux cas annoncés au NCSC la semaine dernière, cependant, l'effort était nettement plus important et les attaques étaient adaptées aux victimes. Dans le premier, les escrocs ont créé à l'avance un faux profil WhatsApp au nom du directeur général et ont utilisé comme photo de profil une capture d'écran provenant d'un film promotionnel de l'entreprise.
Dans le second, visant cette fois un club sportif, les escrocs ont demandé au trésorier de régler une facture pour des chaussures de sport en se faisant passer pour le président. On constate là aussi que les cybercriminels s'étaient renseignés en amont sur le club et avaient adapté leur mode opératoire.
- Sensibilisez tous vos collaborateurs au problème de l'arnaque au président. Ceux qui travaillent au service financier ou qui occupent des postes clés doivent impérativement être informés au sujet de ces attaques potentielles.
- Dans les associations, il y a lieu de former tous les membres qui exercent une fonction de président ou de trésorier.
Action de «give away» au nom de la NASA
Un cas d'action dite de «give away» a déjà été évoqué dans la rétrospective de la semaine 33. Les offres de ce genre sont alléchantes: il suffirait de verser de l'argent sur un portefeuille de cryptomonnaie bien précis pour recevoir en retour le double du montant. Les victimes potentielles sont mises sous pression à l'aide un compteur indiquant que l'offre va bientôt expirer ou que la somme pouvant encore être versée est bientôt atteinte. Le NCSC a reçu cette semaine une annonce concernant une action de ce type. Pour rendre leur offre crédible, les escrocs n'ont pas hésité à viser les étoiles: les victimes ont ainsi été amenées à croire que la NASA était à l'origine de l'action. Le nom de l'ancien astronaute Bill Nelson a été utilisé abusivement afin d'inspirer encore plus de confiance.
Depuis quelque temps, toutes sortes d'histoires inventées sont utilisées pour ces escroqueries. Il existe par exemple une version avec Elon Musk, qui promet lui aussi de doubler les sommes investies.
- Ignorez ce genre d'offres. Généralement, plus le rendement promis est important, plus le risque est élevé.
- Ne vous laissez jamais mettre sous pression.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 25.01.2022
