Une nouvelle campagne de phishing a été découverte. Elle utilise des invitations d’iCalendar — une application de calendrier indispensable pour les iPhone, les Ipad et les iPod — pour tenter de voler des informations bancaires et des identifiants des e-mails.
Les messages de la campagne comportent une pièce jointe iCalendar destinée à tromper les employés, car il s’agit d’un type de fichier rare pour le phishing. Il est donc peu probable que ces pièces jointes aient été incluses dans la formation de sensibilisation à la sécurité.
Les fichiers iCalendar sont les types de fichiers utilisés pour sauvegarder les informations de planification et d’agenda, y compris les tâches et les événements.
Pour ce cas précis, les messages de la campagne avaient pour objet « Détection de fautes à partir du centre de messagerie » et ont été émis à partir d’un compte de messagerie électronique légitime qui a été compromis par les attaquants lors d’une campagne précédente.
Comme les e-mails provenaient d’un compte réel, plutôt que d’un compte usurpé, les messages ont pu contourner les contrôles tels que ceux effectués par les protocoles DMARC, DKIM et SPF, lesquels ont été conçus pour identifier les attaques d’usurpation d’identité via la messagerie électronique où le véritable expéditeur usurpe un compte.
DMARC, DKIM et SPF vérifient si le véritable expéditeur d’un message électronique est autorisé à envoyer des messages à partir d’un domaine.
Comme pour la plupart des campagnes de phishing, les pirates utilisaient la peur et l’urgence pour amener les utilisateurs à cliquer sans penser à la légitimité de la demande.
À cette occasion, les messages comportaient un avertissement de l’équipe de sécurité de la banque indiquant que des retraits ont été effectués sur le compte qui a été marqué comme suspect.
Cette campagne était destinée aux utilisateurs de téléphones portables et les messages demandaient l’ouverture d’un fichier sur leurs appareils mobiles.
Si l’utilisateur clique sur la pièce jointe à l’e-mails, il s’est vu présenter une nouvelle entrée de calendrier intitulée « Stop Unauthorized Payment » qui comprend une URL Microsoft SharePoint. S’il visitait le lien, il était dirigé vers un site web hébergé par Google avec un kit de phishing usurpant la connexion de la banque Wells Fargo.
Ces deux sites web avaient des certificats SSL authentiques, de sorte que les victimes ne pouvaient pas les considérer comme suspects. Ils affichaient également le cadenas vert qui indiquait que la connexion entre le navigateur et le site web était chiffrée et sécurisée, comme ce serait le cas pour le site web de la banque elle-même.
L’utilisateur était ensuite invité à saisir son nom d’utilisateur, son mot de passe, son code PIN, son adresse électronique, son mot de passe de messagerie et ses numéros de compte.
Une fois que les informations étaient saisies, elles étaient capturées par le pirate informatique, puis utilisées pour accéder à leurs comptes.
Pour faire croire que la demande était authentique, les pirates faisaient en sorte que les utilisateurs étaient dirigés vers le site légitime de Wells Fargo une fois les informations transmises.
Il existe des signes avant-coureurs que la demande n’est pas authentique, qui doivent être identifiés par des personnes conscientes de la sécurité.
L’utilisation de domaines SharePoint et Google plutôt que d’un lien direct vers le site web de Wells Fargo est suspecte, la demande de ne pas ouvrir le fichier que sur un appareil mobile n’est pas expliquée.
Le site web de phishing demande également beaucoup d’informations, notamment l’adresse électronique et le mot de passe, qui ne sont pas pertinentes.
Ces indicateurs devraient suffire à faire croire à la plupart des utilisateurs que la demande n’est pas réelle, mais n’oubliez pas que tout e-mail de phishing qui contourne les défenses de filtrage du spam et est envoyé dans les boîtes de réception est un danger.