Exemples de phishing

Voici un petit échantillon d’e-mails de phishing populaires que nous avons vus au fil des ans. Comme vous pouvez le voir, il existe de nombreuses approches différentes que les cybercriminels adopteront et elles évoluent constamment.

Bien qu’il soit pratiquement impossible de conserver des archives actuelles et entièrement complètes de ces exemples, c’est une très bonne idée de se tenir au courant de ce qui existe pour rendre les attaques de phishing moins probables.

Emails de phishing classiques

Arnaques au support technique

Au cours des dernières années, les fournisseurs de services en ligne ont intensifié leur jeu de sécurité en envoyant des messages aux clients lorsqu’ils détectent une activité inhabituelle ou inquiétante sur les comptes de leurs utilisateurs. Il n’est pas surprenant que les méchants utilisent ces messages à leur avantage. Beaucoup sont mal conçus, avec une mauvaise grammaire, etc. mais d’autres ont l’air suffisamment légitimes pour que quelqu’un clique s’il ne faisait pas très attention :

Voyez ce faux avis de sécurité de Paypal avertissant les marques potentielles d’une « activité de connexion inhabituelle » sur leurs comptes :

Avis de sécurité de phishing de Paypal
Le survol des liens suffirait à vous empêcher de finir sur un site web de vol d’informations d’identification.
Et voici un faux avis de Microsoft, d’apparence presque identique à un avis réel de Microsoft concernant une « activité de connexion inhabituelle »:

Malicious Windows Warning Email
Cet email dirige les utilisateurs vers un faux numéro 1-800 au lieu de les renvoyer vers un phishing d’informations d’identification.

Les pièces jointes infectées

Les dangers cachés des pièces jointes .HTML

Les pièces jointes .HTML malveillantes ne sont pas vues aussi souvent que les pièces jointes de fichiers .JS ou .DOC, mais elles sont souhaitables pour deux raisons. Tout d’abord, les risques de détection par les antivirus sont faibles, car les fichiers .HTML ne sont pas souvent associés à des attaques par courrier électronique. Deuxièmement, les pièces jointes .HTML sont couramment utilisées par les banques et autres institutions financières, et les gens sont donc habitués à les voir dans leurs boîtes de réception. Voici quelques exemples d’hameçonnages de justificatifs d’identité que nous avons vus utiliser ce vecteur d’attaque :

Hameçonnage de justificatifs d'identité Google

Faux login Adobe

Macros avec charges utiles

Les macros malveillantes dans les courriels de phishing sont devenues un moyen de plus en plus courant de diffuser des ransomwares au cours de l’année écoulée. Ces documents passent trop souvent sans problème à travers les programmes antivirus. Les e-mails de phishing contiennent un sentiment d’urgence pour le destinataire et, comme vous pouvez le voir dans la capture d’écran ci-dessous, les documents guident les utilisateurs à travers le processus. Si les utilisateurs ne parviennent pas à activer les macros, l’attaque échoue.

Capture d'écran d'avertissement de macros

Exploits de médias sociaux

Messages Facebook malveillants

Plusieurs utilisateurs de Facebook ont reçu des messages dans leurs comptes Messenger provenant d’autres utilisateurs qui leur étaient déjà familiers. Le message se composait d’un seul fichier image .SVG (Scaleable Vector Graphic) qui, notamment, n’était pas soumis au filtre des extensions de fichiers de Facebook. Les utilisateurs qui cliquaient sur le fichier pour l’ouvrir étaient redirigés vers une page Youtube usurpée qui les invitait à installer deux extensions Chrome prétendument nécessaires pour visionner la vidéo (inexistante) sur la page.

Message SVG Facebook malveillantSite YouTube usurpé

Pour la plupart des utilisateurs, les deux extensions Chrome ont été utilisées pour permettre au malware un degré limité d’auto-propagation en exploitant  » l’accès du navigateur à votre compte Facebook afin d’envoyer secrètement un message à tous vos amis Facebook avec le même fichier image SVG. »

Sur les PC de certains utilisateurs, le Javascript intégré a également téléchargé et lancé Nemucod , un téléchargeur de cheval de Troie ayant une longue histoire d’extraction d’une grande variété de charges utiles malveillantes sur les PC compromis. Les utilisateurs assez malchanceux pour rencontrer cette version du script malveillant ont vu leur PC pris en otage par le ransomware Locky.

LinkedIn Phishing Attacks

LinkedIn est au centre des escroqueries en ligne et des attaques de phishing depuis plusieurs années, principalement en raison de la richesse des données qu’il offre sur les employés des entreprises. Les acteurs malveillants exploitent ces données pour identifier les marques potentielles d’attaques de compromission de la messagerie professionnelle, notamment les escroqueries par virement bancaire et par ingénierie sociale W-2, ainsi qu’un certain nombre d’autres ruses créatives. Voici quelques exemples que nous avons vus grâce au bouton d’alerte aux hameçons de KnowBe4 :
Dans un cas, un utilisateur a signalé avoir reçu un hameçonnage standard des informations d’identification de Wells Fargo par le biais de l’InMail de LinkedIn :
LinkedIn InMail Phish
Notez que cet InMail particulier semble provenir d’un faux compte Wells Fargo. Le lien fourni mène à un phish assez typique de credentials (hébergé sur un domaine malveillant depuis retiré):
Wells Fargo LinkedIn Phishing Scam
Il semble que les méchants aient mis en place un faux profil Wells Fargo pour tenter de paraître plus authentique.

Un autre hameçonnage similaire a été délivré à un compte de messagerie en dehors de LinkedIn :
Capture d'écran d'hameçonnage d'emailLinkedIn
Cet email a été délivré par LinkedIn, tout comme les URL utilisées pour les plusieurs liens inclus dans le pied de page de cet email (« Répondre », « Pas intéressé », « Voir le profil LinkedIn de Wells ») :

Capture d'écran du courriel de phishing LinkedIn de Wells Fargo
Ces URL ont manifestement été générées automatiquement par LinkedIn lui-même lorsque les acteurs malveillants ont utilisé les fonctionnalités de messagerie de LinkedIn pour générer ce phish, qui a touché le compte de messagerie externe de la marque (par opposition à sa boîte InMail, comme c’était le cas dans le premier phish évoqué plus haut).

Des escroqueries au PDG

Voici un exemple d’un client de KnowBe4 qui a été la cible d’une fraude au PDG. L’employée a d’abord répondu, puis s’est souvenue de sa formation et a plutôt signalé le courriel à l’aide du bouton d’alerte aux phishs, alertant son service informatique de la tentative de fraude.

Lorsque l’employée n’a pas procédé au virement, elle a reçu un autre email des méchants, qui ont probablement pensé que c’était jour de paie :

CheO Fraud Phishing

Sujets d’emails de phishing les plus cliqués

KnowBe4 rend compte des emails de phishing les plus cliqués par objet chaque trimestre dans trois catégories différentes : les sujets liés aux médias sociaux, les sujets généraux et  » Dans la nature  » – ces résultats sont recueillis auprès des millions d’utilisateurs qui cliquent sur leur bouton d’alerte de phishing pour signaler les véritables e-mails de phishing et permettent à notre équipe d’analyser les résultats. Vous pouvez trouver les résultats du trimestre le plus récent plus tous les trimestres précédents sur KnowBe4.

KnowBe4 Top Clicked Phishing Emails

Pages associées : Techniques de phishing, Escroqueries de phishing courantes, Qu’est-ce que le phishing

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *