Une nouvelle campagne de phishing va Stripe a été détectée. Elle utilise de faux avertissements pour aviser les utilisateurs d’un compte invalide afin de les inciter à divulguer des informations sur leurs justificatifs d’identité et leurs comptes bancaires.
Stripe est un outil utilisé par de nombreuses entreprises sur leurs sites de commerce électronique pour accepter les paiements de leurs clients. Mais à cause de cela, elles deviennent une cible parfaite pour l’usurpation d’identité. En réalité, la plupart des gens savent que l’entreprise traite les paiements et n’hésitent pas à fournir leurs justificatifs d’identité et les informations sur leurs comptes bancaires pour que les paiements soient traités.
L’escroquerie commence par un e-mail de phishing censé provenir du service d’assistance Stripe. Le message informe le client que les informations associées à son compte sont actuellement invalides. Le message est envoyé à titre d’avis de courtoisie, avertissant l’utilisateur que son compte sera mis en attente jusqu’à ce que le problème soit corrigé. L’utilisateur est invité à revoir les informations qui lui concernent pour corriger le problème. Pour ce faire, il doit cliquer sur un bouton inclus dans l’e-mail.
Les messages contiennent des fautes d’orthographe et une grammaire douteuse. Les individus vigilants n’auront donc aucune difficulté à les identifier comme suspects. De plus, les entreprises leur fournissent souvent des formations de sensibilisation à la sécurité pour qu’ils sachent survoler un hyperlien avec leur curseur dans le but de connaître l’URL réelle.
Le problème est que, dans cette campagne, cette méthode ne fonctionne pas. Les attaquants ont ajouté un titre à la balise HTML de l’hyperlien. Il y est incorporé, de sorte que lorsque le curseur de la souris se trouve sur le bouton « Revoir vos détails », c’est un texte qui s’affiche, plutôt qu’un URL.
Si l’utilisateur clique sur le bouton, il sera dirigé vers une page de connexion Stripe apparemment légitime. Mais la boîte de connexion n’est qu’un clone de la page de connexion réelle. Une série de boîtes s’affichent donc, chacune nécessitant des informations différentes à saisir, y compris les informations de compte bancaire et de contact.
Lorsque l’utilisateur est tenu d’entrer son mot de passe, peu importe le mot saisi, il sera avisé qu’il a entré un mot de passe incorrect et on lui demandera de le saisir de nouveau. L’utilisateur est alors dirigé vers la page d’ouverture de session légitime de Stripe pour faire croire qu’il a toujours été sur le bon site web de Stripe.
Des tactiques similaires sont utilisées dans d’innombrables autres campagnes de phishing ciblant d’autres entreprises bien connues. La présence de fautes d’orthographe et d’erreurs grammaticales dans les messages devrait avertir les utilisateurs finaux que l’e-mail est une tentative de phishing. Mais trop souvent, les utilisateurs finaux ne remarquent pas ces erreurs et cliquent sur le bouton, divulguant ainsi leurs informations sensibles.
L’un des problèmes est le manque de formation en matière de cybersécurité sur le lieu de travail. Si les employés ne sont pas formés à identifier les e-mails de phishing, il est inévitable que certains finissent par tomber dans le piège de ces arnaques et divulguent leurs titres de compétences. Ces informations d’identification peuvent être utilisées pour accéder à des comptes bancaires ou à des comptes de messagerie électronique. Ces derniers étant souvent utilisés pour mener d’autres attaques de phishing contre leurs entreprises. En effet, une seule brèche dans un compte de messagerie suffit pour qu’un pirate informatique puisse exploiter des douzaines de brèches.
Par exemple, une attaque de phishing contre un fournisseur de soins de santé américain a commencé avec un seul e-mail de phishing. Cela a entraîné la compromission de 73 comptes de messagerie.
Quant à la formation de sensibilisation à la cybersécurité, elle est souvent inexistante. Une étude récente portant sur 2 000 employés au Royaume-Uni a révélé que les trois-quarts d’entre eux n’avaient reçu aucune formation en matière de cybersécurité dans leur milieu de travail.
Vous pensez que vous êtes protégé par la solution anti-phishing de Microsoft Office 365 ? Vous en êtes sûr ?
Le saviez-vous ? Un e-mail sur 99 est un e-mail de phishing. Il est donc important de vous assurer que vos défenses sont capables de bloquer ces messages. De nombreuses entreprises croient à tort qu’elles sont protégées contre ces messages malveillants par les contrôles anti-phishing de Microsoft Office 365.
Bien que ces solutions bloquent les spams et certains messages de phishing, une étude récente d’Avanan a révélé que 25 % des attaques de phishing échappent aux défenses d’Office 365 et sont envoyées dans des boîtes de réception des utilisateurs finaux. Pour une entreprise moyenne, cela signifie que plusieurs e-mails de phishing parviendront chaque jour dans leurs boîtes de réception. Pour assurer la protection de votre entreprise contre ces attaques, des contrôles anti-phishing supplémentaires sont requis en plus d’Office 365.
Les entreprises peuvent protéger leurs comptes Office 365 contre le phishing en superposant SpamTitan à Office 365. SpamTitan est une solution avancée qui offre une protection supérieure contre le phishing, les malwares, le spear phishing et les attaques de type « zero-day » .
Des règles heuristiques sont utilisées pour analyser les en-têtes de messages et celles-ci sont constamment mises à jour pour inclure les dernières menaces. L’analyse bayésienne et l’heuristique sont utilisées pour vérifier le contenu des messages et, parallèlement aux techniques de l’apprentissage machine, les nouvelles menaces sont bloquées et empêchées d’atteindre les boîtes de réception des utilisateurs finaux. Des tests sont également utilisés pour évaluer les pièces jointes aux e-mails afin de détecter les codes malveillants utilisés pour installer les nouveaux malwares, en plus du moteur antivirus qui peut bloquer les malwares connus.
Grâce à ces mesures avancées, les boîtes de réception d’Office 365 sont protégées et votre organisation peut empêcher efficacement les attaques de phishing, de spear phishing et de malwares.