© Shutterstock
© Shutterstock

Depuis plusieurs semaines, une nouvelle méthode de hameçonnage, baptisée « Phishing Scams 3.0 », est utilisée pour mener des attaques sur des services courants, en infiltrant les boites mails des internautes.

Les pirates et autres attaquants informatiques ne cessent de se réinventer à mesure que les technologies évoluent et que la sensibilisation au risque cyber progresse. Avanan, une filiale du spécialiste de la cybersécurité Check Point, l'a appris en découvrant une évolution des attaques de phishing, qui s'appuient désormais sur des services et entreprises populaires pour infiltrer les boites de réception des internautes avec des adresses légitimes.

Google Docs, PayPal, iCloud… des services bien connus utilisés par les hackers

Plus précisément, cette nouvelle méthode, nommée « Phishing Scams 3.0 », consiste pour les hackers à utiliser des services légitimes pour lancer leur attaque. Ici, la cible reçoit un courrier électronique d'un service légitime, comme Google Docs et PayPal, qui contient un lien qui redirige la victime vers un site malveillant.

Outre PayPal et Google Docs, plusieurs autres services ont été identifiés. Les pirates se font aussi passer pour iCloud, FedEx, SharePoint, RingCentral ou encore Intuit, pour ne citer qu'eux. Le processus fonctionne en 4 étapes majeures.

  1. D'abord, le hacker crée un compte gratuit sur le service dont il veut se servir
  2. Ensuite, il trouve des courriels à qui envoyer des mails
  3. Le cybercriminel crée une fausse facture, sur laquelle il précise que l'utilisateur ciblé a été facturé, ou qu'un abonnement est sur le point d'être renouvelé
  4. Puis le pirate clique sur « envoyer »

Des attaques à l'aide d'adresses électroniques parfaitement légitimes

Ce qu'il faut comprendre, c'est qu'à chaque fois, l'adresse électronique à partir de laquelle le mail malveillant est envoyé est parfaitement légitime. Elle contient la bonne adresse, ce qui permet à l'attaquant de passer outre la détection et l'identification, et vient ainsi compliquer la tâche de l'utilisateur stressé ou peu sensibilisé, qui est alors davantage susceptible de cliquer et d'aller au bout du processus.

Les chercheurs ont débusqué un mail à l'intérieur duquel le pirate a ajouté un commentaire dans Google Sheets. Après avoir créé un compte Google gratuit, il a ensuite créé une feuille en mentionnant dessus la cible visée, qui reçoit alors une notification légitime par mail. Là, débute le processus. Le même exemple existe avec Google Docs.

Piège tendu via Google Sheets, avec une autre adresse légitime © CheckPoint (pardonnez-nous pour la qualité du cliché)
Piège tendu via Google Sheets, avec une autre adresse légitime © CheckPoint (pardonnez-nous pour la qualité du cliché)

Il est plutôt difficile de débusquer le piège. L'URL est légitime dès la première analyse. Mais tout n'est pas parfait jusqu'au bout dans cette attaque, et heureusement ! Lorsque vous cliquez sur le lien, vous êtes redirigé vers un faux site de crypto-monnaies, qui a pour but par exemple de voler les informations d'identification.

Exemple d'usurpation d'identité PayPal © CheckPoint (pardonnez-nous pour la qualité du cliché)

Sur les deux derniers mois, Check Point a intercepté pas moins de 33 817 attaques de ce type par courrier électronique. Elles concernent quasi systématiquement les services PayPal, Google Docs et dans une moindre mesure SharePoint et FedEx.