{"id":14745,"date":"2020-04-30T09:20:36","date_gmt":"2020-04-30T09:20:36","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=14745"},"modified":"2020-04-30T10:18:48","modified_gmt":"2020-04-30T10:18:48","slug":"covid-fake-delivery-service-spam-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/covid-fake-delivery-service-spam-phishing\/14745\/","title":{"rendered":"Fausses livraisons en temps de confinement"},"content":{"rendered":"

Il serait difficile de trouver un domaine de l\u2019activit\u00e9 humaine qui ne soit pas touch\u00e9 par la pand\u00e9mie de coronavirus, et les services de livraison express ne font pas exception. Les flux de transport entre les pays ont \u00e9t\u00e9 perturb\u00e9s et il y a une p\u00e9nurie<\/a> d\u2019avions-cargos, tandis que les individus et les entreprises continuent \u00e0 commander des biens sur le territoire national tout comme \u00e0 l\u2019\u00e9tranger. La demande de certains produits a m\u00eame mont\u00e9 en fl\u00e8che<\/a>.<\/p>\n

Les pics de demande entra\u00eenent un allongement des temps de transport. En cons\u00e9quence, les clients s\u2019habituent \u00e0 recevoir des messages d\u2019excuses de la part des services de messagerie et \u00e0 suivre des liens pour consulter la mise \u00e0 jour du statut d\u2019exp\u00e9dition de leur commande. Nous avons r\u00e9cemment observ\u00e9 un certain nombre de faux sites et d\u2019e-mails cens\u00e9s provenir de services de livraison exploitant le sujet du coronavirus. Les escrocs utilisent des stratag\u00e8mes \u00e9prouv\u00e9s<\/a> tout comme de nouvelles combines.<\/p>\n

Des spams avec des pi\u00e8ces jointes malveillantes<\/h2>\n

Les spammeurs peuvent se faire passer pour les employ\u00e9s d\u2019un service de livraison afin de persuader les victimes d\u2019ouvrir les pi\u00e8ces jointes malveillantes re\u00e7ues par e-mail. L\u2019astuce classique consiste \u00e0 dire que pour recevoir son colis, le destinataire doit d\u2019abord lire ou confirmer les informations contenues dans le fichier joint.<\/p>\n

Par exemple, un faux e-mail de notification de livraison dans un anglais douteux indique qu\u2019un colis ne pourra pas \u00eatre livr\u00e9 en raison de la pand\u00e9mie, et que le destinataire doit venir le chercher en personne \u00e0 l\u2019entrep\u00f4t.<\/p>\n

L\u2019adresse de l\u2019entrep\u00f4t et d\u2019autres d\u00e9tails figurent bien s\u00fbr dans la pi\u00e8ce jointe qui, si elle est ouverte, installe une porte d\u00e9rob\u00e9e Remcos sur l\u2019ordinateur. Les cybercriminels peuvent alors faire en sorte que l\u2019ordinateur rejoigne un botnet, voler des donn\u00e9es ou installer d\u2019autres logiciels malveillants.<\/p>\n

\"Fausse

Fausse notification de livraison<\/p><\/div>\n

Les auteurs d\u2019un autre faux e-mail de livraison utilisent une astuce similaire, all\u00e9guant que la soci\u00e9t\u00e9 n\u2019a pas pu livrer le colis en raison d\u2019une erreur d\u2019\u00e9tiquetage. La victime est invit\u00e9e \u00e0 confirmer les informations contenues dans la pi\u00e8ce jointe, qui s\u2019av\u00e8re \u00eatre un autre membre de la famille Remcos.<\/p>\n

\"Ces

Ces escrocs se pr\u00e9sentent comme les employ\u00e9s d\u2019une entreprise de messagerie, mais leur adresse les trahit<\/p><\/div>\n

Parfois, les spammeurs ins\u00e8rent des images de documents dans un message pour ajouter de la cr\u00e9dibilit\u00e9. Dans l\u2019exemple ci-dessous, les arnaqueurs ont ajout\u00e9 une petite image au texte du message. Il semble s\u2019agir d\u2019un re\u00e7u, mais il est trop petit pour \u00eatre lu et ne change pas de taille lorsqu\u2019on clique dessus, ce qui incite le destinataire \u00e0 ouvrir la pi\u00e8ce jointe malveillante, dont le nom contient \u00a0\u00bb\u00a0.jpg\u00a0\u00ab\u00a0.<\/p>\n

Si le service de messagerie du destinataire de cet e-mail n\u2019affiche pas l\u2019extension r\u00e9elle du fichier, il peut confondre cette pi\u00e8ce jointe avec une image. Il s\u2019agit en fait d\u2019un fichier ACE ex\u00e9cutable contenant le logiciel espion Noon.<\/p>\n

Pour assurer que la victime se d\u00e9p\u00eache, les cybercriminels disent avoir besoin en urgence des informations manquantes afin de livrer le colis avant le confinement.<\/p>\n

\"Faux

Faux e-mail d\u2019un service de messagerie avec un fichier \u00e0 double extension<\/p><\/div>\n

Les retards de livraison constituent un autre sujet d\u2019e-mails malveillants qui n\u2019est pas nouveau mais qui est particuli\u00e8rement pertinent dans le climat actuel. Ce sc\u00e9nario est tr\u00e8s plausible : les escrocs incitent la victime \u00e0 t\u00e9l\u00e9charger une pi\u00e8ce jointe contenant le cheval de Troie Bsymem qui, s\u2019il est ex\u00e9cut\u00e9, permet aux attaquants de prendre le contr\u00f4le de l\u2019appareil et de voler des donn\u00e9es. Vous trouvez au bas du message une d\u00e9claration selon laquelle l\u2019e-mail a \u00e9t\u00e9 scann\u00e9 par une solution de s\u00e9curit\u00e9 et ne contient aucun fichier ou lien malveillant\u00a0; une affirmation destin\u00e9e \u00e0 donner au destinataire un faux sentiment de s\u00e9curit\u00e9.<\/p>\n

\"Fausse

Fausse notification au sujet d\u2019un retard de livraison en raison du COVID-19<\/p><\/div>\n

De nombreux spammeurs se contentent d\u2019ins\u00e9rer une mention de COVID-19 dans leurs mod\u00e8les d\u2019envoi habituels, mais certains mentionnent sp\u00e9cifiquement les quarantaines et la propagation rapide de la pand\u00e9mie.<\/p>\n

Par exemple, dans un cas, le gouvernement avait interdit l\u2019importation de tout type de marchandises dans le pays, de sorte que le colis \u00e9tait renvoy\u00e9 \u00e0 l\u2019exp\u00e9diteur.<\/p>\n

\"Des

Des escrocs affirment que le gouvernement a banni l\u2019importation de biens dans le pays<\/p><\/div>\n

La pi\u00e8ce jointe contient soi-disant un num\u00e9ro de suivi de commande pour demander une r\u00e9exp\u00e9dition apr\u00e8s la lev\u00e9e des restrictions sanitaires li\u00e9es au virus. L\u2019ouverture du fichier risque cependant d\u2019installer la porte d\u00e9rob\u00e9e Androm, qui permet aux cybercriminels d\u2019acc\u00e9der \u00e0 distance \u00e0 l\u2019ordinateur.<\/p>\n\n

Phishing<\/h2>\n

Les escrocs sp\u00e9cialis\u00e9s dans les attaques de phishing profitent \u00e9galement du chaos du march\u00e9 de la livraison. Nous avons d\u00e9tect\u00e9 des copies tr\u00e8s cr\u00e9dibles de sites Internet l\u00e9gitimes, ainsi que de fausses pages de suivi. Toutes font bien s\u00fbr mention du coronavirus.<\/p>\n

Par exemple, des escrocs ciblant les comptes des clients d\u2019un service d\u2019exp\u00e9dition ont reproduit en d\u00e9tail la page d\u2019accueil officielle de l\u2019entreprise, y compris les derni\u00e8res nouvelles sur la pand\u00e9mie.<\/p>\n

\"Site

Site Internet officiel (gauche) et page de phishing imitant ce site Internet (droite)<\/p><\/div>\n

Ce clone d\u2019un autre site Web de services de livraison, qui mentionne \u00e9galement les derni\u00e8res nouvelles sur le coronavirus, n\u2019est pas moins d\u00e9taill\u00e9.<\/p>\n

\"Page

Page de phishing imitant le site Internet d\u2019un service de livraison<\/p><\/div>\n

Les auteurs de ce faux portail de suivi des colis ont ajout\u00e9 COVID-19 dans le copyright. Cette page contient peu d\u2019informations : un formulaire de saisie des donn\u00e9es d\u2019identification et une liste des services de messagerie \u00e9lectronique \u00a0\u00bb partenaires \u00ab\u00a0. Il va sans dire que lorsque l\u2019utilisateur saisit ses donn\u00e9es d\u2019identification sur cette page elles sont imm\u00e9diatement envoy\u00e9es aux escrocs, et que le sort du paquet restera inconnu.<\/p>\n

\"Fausse

Fausse page de suivi de colis<\/p><\/div>\n

Comment ne pas mordre \u00e0 l\u2019hame\u00e7on<\/h2>\n

Dans le cadre de la pand\u00e9mie et du grand nombre de v\u00e9ritables retards de colis, les faux sites et e-mails ont de grandes chances de r\u00e9ussite, surtout si vous attendez vraiment un colis, ou si, par exemple, les d\u00e9tails de l\u2019exp\u00e9dition ont \u00e9t\u00e9 envoy\u00e9s \u00e0 votre e-mail professionnel et que vous avez des raisons de penser qu\u2019un coll\u00e8gue a pu faire la commande. Pour \u00e9viter de tomber dans le panneau :<\/p>\n