Les chercheurs en sécurité d’Armorblox ont découvert deux nouvelles campagnes de phishing qui usurpent l’identité de compagnies maritimes populaires dans le but de récolter les informations d’identification de messagerie d’entreprise de la victime.
Dans la première campagne, les attaquants ont usurpé l’identité de FedEx en envoyant des e-mails avec la ligne d’objet «Vous avez un nouveau FedEx qui vous est envoyé». Ces e-mails contiennent des informations sur le document afin de le rendre plus légitime ainsi que des liens pour le consulter.
En cliquant sur le lien dans l’e-mail, les victimes accèdent à un fichier hébergé sur Quip, un outil supplémentaire pour Salesforce qui fournit des documents, des feuilles de calcul, des diapositives et des services de chat. Cependant, comme le service a une version gratuite, c’est probablement ce que les attaquants derrière la campagne ont utilisé pour héberger leur page de destination.
Une fois qu’un utilisateur clique sur le lien sur la page de destination hébergée sur Quip, il les amène à la page de phishing finale qui ressemble au portail de connexion Microsoft et ici, les attaquants sont en mesure de récolter les informations d’identification de messagerie de l’utilisateur. Il convient de noter que cette dernière page est hébergée sur Google Firebase dans le but de tromper les gens ainsi que les technologies de sécurité de la messagerie électronique en leur faisant croire que le lien est légitime.
Sommaire
Attaque de phishing DHL Express
Dans la deuxième campagne de phishing observée par l’équipe de recherche sur les menaces Armorblox, les cybercriminels ont utilisé un e-mail usurpant l’identité de DHL Express pour inciter à nouveau les utilisateurs à renoncer à leurs identifiants.
Cet e-mail, avec la ligne d’objet «Votre colis est arrivé», inclut l’adresse e-mail de la victime à la fin du titre et explique que son colis est arrivé à son bureau de poste local mais n’a pas pu être livré en raison de détails de livraison incorrects. Il contient également des documents d’expédition que les victimes devront vérifier si elles souhaitent recevoir leur livraison.
Bien qu’elle soit étiquetée comme un document Microsoft Office, la pièce jointe est en fait un fichier HTML qui affiche un aperçu d’une feuille de calcul lorsqu’elle est ouverte. Cependant, l’aperçu est superposé avec une boîte de demande de connexion qui emprunte l’identité d’Adobe. Bien qu’il soit possible que les attaquants aient tenté de hameçonner les informations d’identification Adobe, il est plus probable qu’ils essayaient d’obtenir les informations d’identification de messagerie professionnelle des victimes à la place.
Pour éviter d’être victime de ces campagnes de phishing et d’autres similaires, Armorblox recommande aux organisations d’augmenter leur sécurité native de messagerie avec des contrôles supplémentaires, de faire attention aux signaux d’ingénierie sociale et d’utiliser l’authentification à deux facteurs ainsi qu’un gestionnaire de mots de passe.
