Faux scanner d’e-mails

Analyse détaillée d’un site d’hameçonnage qui se fait passer pour un scanner d’e-mails et essaie de tromper ses victimes.

Au cours de ces dernières années, nous avons assez régulièrement entendu parler de réseaux professionnels infectés à cause d’un e-mail (et ces infections étaient généralement dues à un ransomware). Il n’est donc pas surprenant de voir que les escrocs utilisent souvent cette méthode pour essayer d’obtenir les identifiants des adresses e-mail d’une entreprise. Pour ce faire, ils convainquent les employés de l’entreprise d’analyser leur boîte de réception.

Ce stratagème s’adresse aux gens qui savent que leur adresse e-mail peut être victime d’un malware mais ne savent pas vraiment comment procéder. L’équipe chargée de la sécurité de l’information pourrait très bien apprendre quelques astuces aux employés et utiliser les exemples de cet article pour leur expliquer ce qu’ils doivent prendre en compte pour ne pas être victimes des cybercriminels.

E-mail d’hameçonnage

Cette arnaque par message se sert d’une méthode qui a fait ses preuves : l’intimidation. On le remarque immédiatement dans l’en-tête puisque le sujet « Alerte virus » est suivi de trois points d’exclamation. Pourtant, même si l’utilisation d’une telle ponctuation peut sembler anodine, c’est la première chose qui devrait éveiller les soupçons du destinataire. Dans le cadre du travail, cette ponctuation superflue est souvent synonyme de problème ou de manque de professionnalisme. Quoi qu’il en soit, cette utilisation est inappropriée pour une notification censée communiquer des informations au sujet d’une menace.

E-mail d'hameçonnage

La première chose que le destinataire doit se demander est : Qui a envoyé le message ? L’e-mail explique que l’inaction entraînera le blocage du compte du destinataire. Il est logique de croire que ce message a été envoyé par le service informatique qui s’occupe du serveur de messagerie de l’entreprise, ou par les employés du fournisseur de service de courrier électronique.

Il est important de comprendre qu’aucun fournisseur, ou service interne, ne va demander à l’utilisateur d’analyser le contenu de sa boîte de réception. Cette analyse s’effectue automatiquement au niveau du serveur de la messagerie. De plus, il est très rare qu’une « activité de virus » s’exécute au sein d’un compte. Même si quelqu’un a vraiment envoyé un virus, le destinataire devrait le télécharger et l’exécuter. L’infection touche l’ordinateur, pas l’adresse e-mail.

Pour en revenir à notre question initiale, un simple coup d’œil à l’adresse de l’expéditeur devrait nous mettre en garde. Tout d’abord, l’e-mail a été envoyé depuis un compte Hotmail, alors qu’une authentique notification afficherait le nom du domaine de l’entreprise ou de son fournisseur. Ensuite, le message a soi-disant été envoyé par l’ « Équipe de sécurité des e-mails ». Si l’entreprise du destinataire utilise un fournisseur de service de courrier électronique tiers, son nom doit apparaître dans la signature. Si le serveur de la messagerie est hébergé au sein de l’infrastructure de l’entreprise, la notification proviendrait du service informatique interne ou du service de sécurité de l’information. Il est peu probable qu’une équipe entière se consacre à la sécurité des e-mails.

Il y a ensuite le lien. Les adresses e-mail les plus modernes des clients affichent l’URL cachée derrière le lien hypertexte. Si on demande au destinataire de cliquer sur le lien pour être redirigé vers un scanner d’e-mails hébergé sur un domaine qui n’appartient ni à l’entreprise ni au fournisseur de service de courrier électronique alors il s’agit certainement d’un e-mail d’hameçonnage.

Site d’hameçonnage

Le site ressemble à un scanner d’e-mails en ligne. Pour paraître authentique, il affiche les logos d’une multitude de fournisseurs de programmes antivirus. L’en-tête comprend même le nom de l’entreprise du destinataire, afin de dissiper tout doute quant à l’outil. Le site simule d’abord le lancement d’une analyse, l’interrompt puis affiche ce message plein de fautes de grammaire « Confirmer votre compte ci-dessous pour compléter l’analyse e-mail et supprimer tous les fichiers infectés. » Il faut bien évidemment saisir le mot de passe du compte pour pouvoir le faire.

Interface d'un scanner d'hameçonnage

Pour vérifier la nature du site, examinez le contenu de la barre d’adresse du navigateur. Tout d’abord, comme nous l’avons expliqué ci-dessus, le domaine n’est pas bon. Ensuite, il est fort probable que l’URL contienne l’adresse e-mail du destinataire. Cela n’est pas un problème puisque l’identifiant de l’utilisateur a pu être passé par l’URL. Si vous avez des doutes sur la légitimité du site, remplacez l’adresse par des caractères choisis au hasard, mais sans effacer le @ pour que le système croit qu’il s’agit d’une adresse e-mail.

Les sites de ce genre utilisent l’adresse envoyée par le lien de l’e-mail d’hameçonnage pour remplir les espaces vides du modèle de la page. Dans le cadre de cette expérience, nous avons utilisé la fausse adresse victim@yourcompany.org. Le site a automatiquement modifié « yourcompany » dans le nom du scanner et toute l’adresse dans le nom du compte, après quoi il semblait avoir lancé l’analyse des pièces jointes inexistantes d’une adresse e-mail inexistante. En refaisant cette expérience avec une autre adresse e-mail, nous avons constaté que les noms des pièces jointes qui apparaissaient pendant l’ « analyse » étaient identiques.

Faux site d'un scanner qui simule une analyse

Voici autre incohérence : le scanner analyse soi-disant le contenu de la boîte de réception sans que l’utilisateur ne se soit identifié. Dans ce cas, pourquoi le scanner a-t-il ensuite besoin du mot de passe ?

Comment protéger vos employés de l’hameçonnage ?

Nous avons minutieusement analysé les signes qui montrent qu’il s’agit d’un e-mail d’hameçonnage et d’un faux scanner disponible sur un site Internet. Vous pouvez demander à vos employés de lire cet article pour qu’ils sachent quoi rechercher et analyser. Pourtant ce n’est que la partie visible de l’iceberg. Certains faux e-mails sont plus sophistiqués et beaucoup plus difficiles à détecter.

Par conséquent, nous vous conseillons de former continuellement vos employés pour qu’ils connaissent les dernières cybermenaces. Pour ce faire, vous pouvez notamment utiliser notre Kaspersky Automated Security Awareness Platform.

Vous devez également installer sur les postes de travail des solutions de sécurité capables de détecter les e-mails d’hameçonnage sur le serveur de la messagerie et de bloquer les redirections vers les sites d’hameçonnage. Kaspersky Security for Business remplit ces deux fonctions. En plus de ça, nous vous proposons une solution qui renforce les mécanismes de protection intégrée de Microsoft Office 365.

Conseils