Plus de 15 000 personnes reçoivent chaque jour un e-mail provenant d'une nouvelle campagne de phishing qui vise les bénéficiaires de la Caisse d'allocations familiales (CAF).
De plus en plus courantes, les campagnes ciblant les bénéficiaires réels ou potentiels de prestations et autres services affiliés de près ou de loin à l'État se multiplient. Vade nous révèle avoir détecté une nouvelle vague de phishing qui vise à piéger les allocataires de la Caisse d'allocations familiales (CAF). Celle-ci a débuté le 22 août. Elle se répand largement et atteindrait au plus fort la barre des 15 000 e-mails envoyés quotidiennement.
Un e-mail à l'apparence plutôt crédible si l'on ne se méfie pas
Comme on peut le craindre, les mails de phishing sont envoyés dans un style identique de ceux qui sont réellement envoyés par la CAF. La campagne identifiée par l'entreprise cyber Vade fait état de courriers électroniques plutôt courts, simples, en français et rédigés sans grossière faute d'orthographe, si ce n'est un espace autour des parenthèses, un ou deux accents manquants ou encore une consonne oubliée en route.
C'est beaucoup, nous direz-vous, mais cela reste hélas largement suffisant pour piéger l'internaute peu regardant. Qui plus est, un e-mail provenant de la CAF a souvent une importance de taille pour un allocataire.
Notons que l'adresse de l'expéditeur commence par « noreply », ce qui n'est pas inédit à la CAF, et que le domaine de l'e-mail inclut « votre-caissedallocations » ce qui peut aussi, en cas de manque d'attention, suffire à donner davantage de crédibilité au message.
Un détail peut néanmoins commencer à alerter plus sérieusement les internautes, même les moins méfiants. Outre le fait qu'il manque le logo de la CAF, le sujet du message, « Fwd:FEFF », n'est franchement pas banal et n'est pas lié au courrier. On peut d'ailleurs s'étonner que les hackers aient pris le soin d'un sujet si éloigné du sujet. Certains n'y feront malgré tout pas attention.
Une campagne de phishing bien ficelée pour maximiser ses chances de réussite
L'e-mail de phishing en question est envoyé depuis les serveurs de Google, ce qui veut dire que les pirates ont dû acheter des ressources, qui leur permettent de générer une grosse puissance d'emailing et de se doter d'une infrastructure légitime, diminuant ainsi leurs chances d'être bloqués par les systèmes de sécurité, et maximisant les possibilités de tomber l'e-mail dans la boîte de réception des cibles.
Le message contient un lien rattaché au call-to-action « Accédez au formulaire » qui, lorsqu'on clique dessus, nous redirige vers un site de phishing pour le coup bien plus crédible que l'e-mail, et qui ressemble, à quelques détails près, au site officiel de la CAF. Difficile donc de différencier les deux sites, d'autant plus que l'interface officielle peut régulièrement être ajustée. Un changement de plus ou de moins ne paraît alors plus choquant.
Au plus fort de la campagne, débutée le 22 août, les hackers sont parvenus à envoyer plus de 14 000 e-mails par jour. Nous n'assistons pas à une campagne de très grande envergure, mais elle reste tout de même assez importante. Et surtout, les pirates changent fréquemment de domaine. Vade nous dit avoir identifié une dizaine de domaines différents liés à l'arnaque, pour autant de campagnes de hameçonnage, sans doute toutes issues du même groupe de cybercriminels.
