{"id":16350,"date":"2021-02-03T16:07:19","date_gmt":"2021-02-03T16:07:19","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16350"},"modified":"2021-02-03T16:07:19","modified_gmt":"2021-02-03T16:07:19","slug":"the-hunt-for-mailing-lists","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/the-hunt-for-mailing-lists\/16350\/","title":{"rendered":"Chasse aux listes de distribution"},"content":{"rendered":"

Il est particuli\u00e8rement inqui\u00e9tant d\u2019entendre les consommateurs dire qu\u2019ils n\u2019int\u00e9ressent pas les cybercriminels, et les choses s\u2019aggravent lorsque ce sont les patrons des PME qui tiennent le m\u00eame discours. En n\u00e9gligeant leur protection de base, ils font le bonheur des pirates informatiques puisque leurs cibles ne sont pas toujours celles que l\u2019on pourrait croire. D\u2019ailleurs, nous avons re\u00e7u il y a peu un e-mail qui est tomb\u00e9 dans notre pi\u00e8ge et qui pourrait tr\u00e8s bien illustrer cette situation\u00a0: un message d\u2019hame\u00e7onnage qui cherche \u00e0 pirater le compte d\u2019un fournisseur de services de messagerie \u00e9lectronique (ESP) pour cr\u00e9er une liste de distribution.<\/p>\n

Hame\u00e7onnage du service de messagerie<\/h2>\n

L\u2019arnaque d\u00e9bute par l\u2019envoi d\u2019un message \u00e0 un employ\u00e9 de l\u2019entreprise pour confirmer le paiement de l\u2019abonnement \u00e0 un ESP. Le lien du message est cens\u00e9 permettre au destinataire de t\u00e9l\u00e9charger un justificatif de paiement. Si le destinataire est bel et bien un client de l\u2019ESP (et l\u2019hame\u00e7onnage s\u2019en prend aux vrais clients), il va tr\u00e8s probablement cliquer sur le lien afin d\u2019en savoir plus sur ce paiement anormal.<\/p>\n

M\u00eame si l\u2019hyperlien semble rediriger vers la page de l\u2019ESP, il ouvre un site compl\u00e8tement diff\u00e9rent. Les victimes qui suivent le lien arrivent sur un faux site qui ressemblent \u00e9norm\u00e9ment \u00e0 la page de connexion officielle.<\/p>\n

\"Deux

Deux pages de connexion. La fausse est \u00e0 gauche.<\/p><\/div>\n

Nos lecteurs savent que toutes donn\u00e9es saisies sur cette fausse page de connexion sont directement envoy\u00e9es aux cybercriminels \u00e0 l\u2019origine de cette arnaque. Il convient toutefois de souligner qu\u2019en plus de cette adresse erron\u00e9e, le faux site utilise un canal non prot\u00e9g\u00e9 pour transmettre les donn\u00e9es recueillies. Les escrocs n\u2019ont pas pris la peine de copier le CAPTCHA m\u00eame s\u2019ils ont tout de m\u00eame ajout\u00e9 un exemple dans le champ de l\u2019e-mail. Il devrait aussi y avoir un drapeau en bas \u00e0 droite. La plupart des utilisateurs ne remarque pas ces diff\u00e9rences.<\/p>\n

Pourquoi est-il dangereux de ne plus pouvoir acc\u00e9der \u00e0 son compte d\u2019ESP<\/h2>\n

Dans le meilleur des cas, les cybercriminels vont envoyer des spams \u00e0 votre liste de clients apr\u00e8s avoir pris le contr\u00f4le de votre compte d\u2019ESP. Les listes de distribution propres \u00e0 l\u2019industrie se vendent plus cher sur le march\u00e9 noir qu\u2019une simple collecte al\u00e9atoire d\u2019adresses e-mails. En connaissant le domaine de travail de l\u2019entreprise les escrocs peuvent plus facilement personnaliser les spams.<\/p>\n

\u00c9tant donn\u00e9 que les cybercriminels sont les sp\u00e9cialistes de l\u2019hame\u00e7onnage, il est fort probable que toutes les personnes qui figurent dans les listes vol\u00e9es re\u00e7oivent un message d\u2019hame\u00e7onnage qui aurait soi-disant \u00e9t\u00e9 envoy\u00e9 par l\u2019entreprise. Ainsi, que ce soit parce que le destinataire est abonn\u00e9 \u00e0 la newsletter ou parce que c\u2019est un client, il va certainement ouvrir le message, le lire, et cliquer sur le lien. L\u2019exp\u00e9diteur ne semble pas suspect.<\/p>\n

M\u00e9thodes de camouflage<\/h2>\n

Nous avons \u00e9tudi\u00e9 le message d\u2019hame\u00e7onnage de plus pr\u00e8s et avons d\u00e9couvert qu\u2019il a \u00e9t\u00e9 envoy\u00e9 depuis un autre service de messagerie (le concurrent de l\u2019ESP depuis lequel il aurait soi-disant \u00e9t\u00e9 envoy\u00e9). Vous pouvez lire l\u2019article \u00ab\u00a0Hame\u00e7onnage et services d\u2019emailing marketing<\/a>\u00a0\u00bb pour comprendre la logique de cette d\u00e9cision. Curieusement, pour que la campagne dure plus longtemps, les cybercriminels ont m\u00eame cr\u00e9\u00e9 une page d\u2019accueil pour leur \u00ab\u00a0entreprise de marketing\u00a0\u00bb. Le titre de la page, Simple House Template<\/em>, n\u2019est tout de m\u00eame pas tr\u00e8s convaincant.<\/p>\n

Page d\u2019accueil de la fausse \u00ab\u00a0entreprise de marketing\u00a0\u00bb.<\/p><\/div>\n

Cet exemple nous laisse croire que les escrocs connaissent tr\u00e8s bien les m\u00e9canismes de plusieurs services de messagerie et qu\u2019ils pourraient s\u2019en prendre aux clients d\u2019autres ESP.<\/p>\n

Comment se prot\u00e9ger de l\u2019hame\u00e7onnage<\/h2>\n

Suivez ces quelques conseils de base pour ne pas tomber dans le pi\u00e8ge :<\/p>\n