Les cybercriminels continuent de concevoir de nouvelles façons de fournir des e-mails de phishing aux utilisateurs finaux et le Cofense Phishing Defense Center (PDC) a découvert une nouvelle campagne de phishing qui utilise des pièces jointes d'invitation à l'agenda pour essayer de contourner les passerelles de messagerie.
Les chercheurs du cabinet ont découvert la nouvelle campagne dans plusieurs environnements de messagerie d'entreprise protégés par Proofpoint et Microsoft. Cofense suppose que les attaquants pensent qu'en plaçant leur URL de phishing dans une invitation de calendrier, ils peuvent éviter une analyse automatisée.
Le sujet des e-mails de phishing utilisés dans la campagne est «Détection de fraude à partir du Centre de messages» et le nom d'affichage de l'expéditeur est Walker. Cependant, l'adresse e-mail utilisée semble être légitime et peut provenir d'un district scolaire dont les comptes ont été compromis. En fait, Cofense a observé l’utilisation de plusieurs les comptes compromis dans cette campagne, car l'utilisation d'un compte Office 365 compromis permet aux messages de contourner les filtres de messagerie qui reposent sur DKIM / SPF.
L'e-mail utilise une version du leurre classique «activité suspecte sur le compte bancaire de l'utilisateur» pour inciter les utilisateurs à l'ouvrir. Attaché à l'e-mail est une invitation de calendrier qui contient un lien vers la fausse invitation.
Sommaire
Se cacher sur des sites légitimes
Lorsqu'un utilisateur clique sur l'invitation du calendrier, il est redirigé vers un document simple, hébergé sur le site Sharepoint de Microsoft, contenant encore un autre lien.
Si la victime va de l'avant et suit ce deuxième lien, elle est redirigée de sharepoint.com vers un site de phishing hébergé par Google. Cependant, ce n'est pas la première fois qu'un cybercriminel utilise l'un des sites de Google pour héberger son arnaque de phishing et cette pratique devient de plus en plus courante en raison de sa facilité d'utilisation ainsi que du certificat SSL intégré fourni avec le domaine.
Les utilisateurs sont ensuite présentés avec une page bancaire Wells Fargo convaincante qui demande une variété d'informations de compte, y compris les informations de connexion, le code PIN et divers numéros de compte ainsi que les informations d'identification par e-mail. Si un utilisateur fournit toutes ces informations, il sera finalement redirigé vers la page de connexion réelle de Wells Fargo pour lui faire croire qu'il a réussi à sécuriser son compte.
Cette dernière campagne de phishing est un autre rappel que les entreprises et les particuliers doivent rester constamment vigilants lorsqu'ils vérifient leurs e-mails, car les cybercriminels continuent de trouver de nouvelles façons de passer les passerelles et de livrer leurs escroqueries aux utilisateurs.
