Rétrospective de la semaine 42

26.10.2021 - Le NCSC continue de recevoir un grand nombre d'annonces, en raison toujours de SMS de notification de pseudo-messages vocaux qui renferment un logiciel malveillant ciblant les appareils Android. Les annonces reçues ont aussi mis en lumière des fichiers Excel malveillants, envoyés semble-t-il par une personne connue de la victime qui mentionnait un précédent échange de courriels. Dans la présente rétrospective, le NCSC revient en outre sur une demande adressée à un cabinet d'avocats qui cachait une tentative d'escroquerie, ainsi que sur une fraude au paiement anticipé accompagnée de hameçonnage.

Mentionner un précédent échange de courriels pour inciter la personne à ouvrir un document

Un cas où la probabilité est accrue que la personne ouvrira la pièce jointe d'un courriel est celui où ce dernier mentionne un précédent échange de courriels. À cette fin, les escrocs commencent par accéder à un compte de messagerie, puis sélectionnent un courriel adéquat, qu'ils envoient - assorti d'un lien menant à un logiciel malveillant – à son destinataire initial. Le cas a déjà été évoqué dans la rétrospective de la semaine 20.
La semaine dernière, le NCSC a de nouveau observé des attaques de ce genre, dirigées principalement contre des PME et des communes. Le courriel envoyé prie son ou sa destinataire de vérifier deux documents joints sous forme de liens. Comme le veut la pratique habituelle, ceux-ci sont suivis du précédent échange de courriels, qui, en l’occurrence, a été dérobé. Les liens mènent à un fichier ZIP qui contient un document Excel. L'installation du logiciel malveillant se fait au moyen des macros d'Office (Excel dans le cas présent).

  • Les courriels malveillants peuvent également provenir d'expéditeurs qui semblent connus. Faites preuve de prudence, par exemple si une communication déjà effectuée est tout à coup utilisée de manière incohérente.
  • Les logiciels malveillants sont souvent diffusés par l'intermédiaire de documents Office et recourent, dans la plupart des cas, aux macros. N'activez jamais les macros
Courriel mentionnant un précédent échange de courriels, assorti de deux liens cachant un logiciel malveillant
Courriel mentionnant un précédent échange de courriels, assorti de deux liens cachant un logiciel malveillant

Proposition de mandat venue du Japon: logiciel malveillant ou escroquerie?

La semaine dernière, un cabinet d'avocats suisse a signalé au NCSC qu'il avait fait l'objet d'une prise de contact suspecte de la part d'une prétendue entreprise japonaise. Celle-ci lui proposait de se charger d'une affaire qui l'opposait à une entreprise suisse. Le courriel était accompagné d'un fichier PDF dans lequel se trouvait un contrat de huit pages assorti de ses clauses juridiques qui énonçait les modalités de la collaboration. Ce qui était suspect en l'occurrence, c'était que le message reçu provenait d'une adresse électronique Gmail. Renseignement pris auprès de l'entreprise japonaise concernée, à l'adresse électronique figurant sur son site Web officiel, il s'est avéré qu'elle n'avait rien à avoir avec la proposition de mandat.

Mais alors de quoi en retourne-t-il au juste?
L'analyse du fichier PDF n'a révélé aucune irrégularité, si bien qu'une attaque au moyen d'un logiciel malveillant a pu être exclue. Le NCSC a trouvé sur Internet le document qui a servi de modèle pour le contrat. Ce modèle, qui est disponible gratuitement, fournit un texte prêt à l'emploi dans lequel les escrocs n'ont eu qu'à insérer le nom des parties contractuelles. Le contrat avait vocation à servir d'appât en donnant l'illusion d'avoir été rédigé par des professionnels et en amenant ainsi le cabinet d'avocats à accepter le mandat.

Mais dans quel but au juste?
Dans les cas de ce genre, le but de l'escroc est de faire en sorte que l'entreprise visée accepte le mandat et lui en facture l'exécution. L'escroc fait semblant de régler la facture par chèque ou par virement bancaire. Il fait ensuite parvenir à la victime des copies de prétendus chèques ou documents émanant de banques fictives, destinés à la convaincre que le montant dû a effectivement été réglé. L'astuce réside dans le fait que la somme versée est plus élevée que celle qui avait été initialement convenue. La victime est alors pressée soit de rembourser la différence sur un autre compte, soit, sous un prétexte quelconque, de la virer à un prestataire de services fictif, alors qu'elle n'a pas encore pu vérifier que l'argent était bien arrivé sur son propre compte. Au final, bien sûr, le chèque est un chèque en bois ou le virement annoncé une pure fiction. Il s'agit d'un cas classique d'escroquerie au trop-perçu. Le cabinet d'avocats s'est vite aperçu de la supercherie et l'a signalée au NCSC.

  • Méfiez-vous si l'entreprise communique par l'intermédiaire d'un gros fournisseur de services de messagerie comme Gmail, Hotmail ou Bluewin.
  • Renseignez-vous sur le sérieux de l'entreprise qui a pris contact.
  • Assurez-vous de l'authenticité du mandat proposé en écrivant à l'adresse de contact indiquée sur le site Web officiel de l'entreprise.

Une fraude au paiement anticipé à l'issue inattendue

Les courriels qui font miroiter une grosse somme d'argent se comptent par milliers. La plupart du temps, il est question de prétendus héritages venant d'un prince, de fortunes perdues n'attendant qu'un propriétaire ou de gains à la loterie. Invariablement cependant, les offres et promesses qui sont mentionnées dans ces messages sont inventées de toutes pièces et ne visent qu'à créer une toile de fond crédible pour l'escroquerie. Si vous répondez à l'un de ces messages, l'escroc fera valoir n'importe quel prétexte pour vous demander de payer une avance. C'est pourquoi l'on parle de fraude au paiement anticipé. Les prestations promises n'existent pas.

Dans le cas qui nous intéresse, l'histoire a justement commencé par un gain de 10 millions de dollars. L'adresse de courrier électronique avait paraît-il été tirée au sort par une loterie américaine pour en toucher le gros lot. Les personnes prises pour cibles ont également reçu un lien vers une page où elles pourraient prétendument se convaincre de la véracité de l'histoire et de l'existence réelle de l'argent. Or, pour ce faire, il fallait d'abord qu'elles se connectent sur la page avec le mot de passe du compte de messagerie électronique tiré au sort. Un test mené par le NCSC a montré qu'en saisissant n'importe quelle adresse et n'importe quel mot de passe, on ne voyait jamais s'afficher aucun gain et on se retrouvait toujours sur la page du fournisseur de services de messagerie correspondant. En indiquant leur mot de passe, les victimes ont par contre permis aux escrocs d'accéder à leur compte de messagerie, ce qui est typique de l'hameçonnage. Pareilles combinaisons inédites de deux phénomènes bien connus (fraude au paiement anticipé et hameçonnage) s'observent de plus en plus fréquemment depuis quelques temps.

  • Méfiez-vous des courriels qui essaient de piquer votre curiosité ou qui exigent une action de votre part, en vous menaçant sinon de conséquences (perte financière, plainte pénale ou procès, blocage d'un compte ou d'une carte, occasion manquée, malheur).
  • Si un courriel vous paraît suspect, n’ouvrez aucune pièce jointe et ne cliquez sur aucun lien.
Faux site Web où la victime est censée voir s'afficher son gain après s'être connectée.
Faux site Web où la victime est censée voir s'afficher son gain après s'être connectée.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 19.10.2021

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/wochenrueckblick_42.html