Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Apprenez à un homme à phishing et il est prêt à vivre
Un aspect frustrant du phishing par courrier électronique est la fréquence à laquelle les fraudeurs se tournent vers des méthodes éprouvées qui n’ont vraiment aucune raison de fonctionner de nos jours. C'est comme joindre un e-mail de phishing à un e-mail traditionnel et propre, ou tirer parti des redirections de liens surLinkedIn, ou abuser d'une méthode d'encodage qui permet de déguiser facilement des objets piégésMicrosoft Windowsfichiers comme des documents relativement inoffensifs.
KrebsOnSecurity a récemment entendu un lecteur perplexe face à un e-mail qu'il venait de recevoir disant qu'il devait examiner et remplir un formulaire fiscal W-9 fourni. La missive a été présentée comme si elle faisait partie d'un rapport de livraison dans une boîte aux lettres deMicrosoft 365sur les messages qui n’ont pas été livrés.
Le lecteur, qui a demandé à rester anonyme, a déclaré que le message de phishing contenait une pièce jointe qui semblait avoir une extension de fichier « .pdf », mais que quelque chose semblait bizarre. Par exemple, lorsqu'il téléchargeait et essayait de renommer le fichier, la flèche droite du clavier déplaçait son curseur vers la gauche, et vice versa.
Le fichier inclus dans cette escroquerie de phishing utilise ce que l'on appelle un « remplacement de droite à gauche » ou caractère RLO. RLO est un caractère spécial au sein d'Unicode – un système de codage qui permet aux ordinateurs d'échanger des informations quelle que soit la langue utilisée – qui prend en charge les langues écrites de droite à gauche, comme l'arabe et l'hébreu.
Regardez attentivement la capture d'écran ci-dessous et vous remarquerez que même si Microsoft Windows indique que le fichier joint au message de phishing s'appelle « lme.pdf », le nom complet du fichier est « fdp.eml » épelé à l'envers. Essentiellement, il s’agit d’un fichier .eml – un format de courrier électronique ou un courrier électronique enregistré en texte brut – se faisant passer pour un fichier .PDF.
"L'e-mail est arrivé via Microsoft Office 365 avec toutes les détections activées et n'a pas été détecté", a poursuivi le lecteur. « Lorsque le même e-mail est envoyé via Mimecast, Mimecast est suffisamment intelligent pour détecter l'encodage et renomme la pièce jointe en « ___fdp.eml ». On pourrait penser que Microsoft aurait eu suffisamment de temps pour résoudre ce problème.
En effet, KrebsOnSecurity a couvert pour la première fois les attaques de phishing basées sur RLO en 2011, et même à cette époque, ce n'était pas une nouvelle astuce.
L'ouverture du fichier .eml génère un rendu d'une page Web qui imite une alerte de Microsoft concernant les messages capricieux en attente de restauration dans votre boîte de réception. En cliquant sur le lien « Restaurer les messages », vous êtes redirigé vers une redirection ouverte surLinkedInavant de transférer vers la page Web de phishing.
Comme indiqué ici l'année dernière, les fraudeurs profitent depuis longtemps d'une fonctionnalité marketing sur le site de réseautage professionnel qui leur permet de créer un lien LinkedIn.com qui renvoie votre navigateur vers d'autres sites Web, tels que des pages de phishing qui imitent les plus grandes marques en ligne (mais principalement celles de Linkedin). société mère Microsoft).
La page de destination après la redirection LinkedIn affiche ce qui semble être une page de connexion Office 365, qui est naturellement un site Web de phishing conçu pour ressembler à une propriété officielle de Microsoft Office.
En résumé, cette arnaque de phishing utilise une vieille astuce RLO pour tromper Microsoft Windows en lui faisant croire que le fichier joint est autre chose, et lorsque vous cliquez sur le lien, il utilise une redirection ouverte sur un site Web appartenant à Microsoft (LinkedIn) pour envoyer les gens vers une page de phishing qui usurpe Microsoft et tente de voler les identifiants de messagerie des clients.
Selon les derniers chiffres deLogiciel de point de contrôle, Microsoft était de loin la marque la plus usurpée pour les escroqueries par phishing au deuxième trimestre 2023, représentant près de 30 % de toutes les tentatives de phishing de marque.
Un message non sollicité qui arrive avec l’un de ces fichiers .eml en pièce jointe est plus que probablement un leurre de phishing. Le meilleur conseil pour éviter les escroqueries par phishing est d’éviter de cliquer sur des liens qui arrivent de manière inattendue dans les e-mails, les SMS et d’autres supports. La plupart des escroqueries par phishing invoquent un élément temporel qui avertit des conséquences désastreuses si vous ne réagissez pas ou n'agissez pas rapidement.