Les pirates deviennent de plus en plus audacieux. Le dernier raffinement en matière d’ingénierie sociale vient d’être détecté par Symantec et le CERT ukrainien : il touche surtout les grands comptes français.
La méthode employée est simple : un courriel pointant vers un malware stocké sur un service de partage en ligne est envoyé à un des salariés d’un grand groupe. Sont visés en priorité secrétaires et assistants, car ils se trouvent à des positions stratégiques du SI, mais aussi parce que cela facilite la suite de l’opération, comme vous allez le constater.
En effet, quelques minutes plus tard, la personne destinataire du mail reçoit un appel du pirate, lequel, dans un français irréprochable, se fait passer pour un exécutif de la société et demande à sa victime de traiter le document le plus rapidement possible (il lui est également possible d’appeler avant l’envoi du document, soit dit en passant).
La suite est classique : le fichier contient un cheval de Troie permettant au pirate de pénétrer le SI de l’entreprise pour accomplir son forfait.
Certains argueront qu’il faut être quelque peu naïf pour se laisser prendre au piège. Mais la méthode se révèle en fait pleine d’astuce.
Le pirate se fait tout d’abord passer pour un membre de la société. Il lui suffit pour cela d’avoir une idée de l’organigramme de l’entreprise, puis d’usurper une identité. Au sein de grands comptes, cela n’est même pas nécessaire, la probabilité que la victime connaisse l’ensemble du personnel dirigeant étant très faible.
Dans de plus petites sociétés, un couac dans le choix de l’identité à usurper étant possible, il est possible de se faire passer pour une personne tierce, par exemple le cabinet comptable de l’entreprise, même si la sauce aura alors peut-être plus de mal à prendre.
Lors de son appel, le pirate ne cherche pas à soustraire des informations à sa victime. Il se borne à insister sur l’urgence de traiter le mail qu’il vient de lui transmettre. Mail qui existe bien d’ailleurs, renforçant par la même la crédibilité de l’ensemble de la démarche.
Et c’est là que cette technique d’ingénierie sociale montre toute sa force : l’appel ne lèvera aucun soupçon de danger. C’est l’action demandée au sein de la conversation qui mènera au piratage de la machine. Voilà qui lèvera beaucoup moins de soupçons qu’un mail en provenance d’un soi-disant banquier ivoirien.
L’affaire Francophoned, comme l’a appelé l’éditeur, s’appuie sur trois éléments :
Symantec a remonté l’infrastructure de l’attaquant : les serveurs sont situés en Ukraine, mais leur pilotage s’effectue à distance, les données transitant par l’Israël. Ceci ne veut pas dire que le pirate habite ce pays, mais juste qu’il a été impossible de le suivre au-delà. De fait, il utilise une carte d’accès Internet mobile prépayée, ce qui dans la pratique le rend totalement anonyme.
Plusieurs sociétés françaises auraient été touchées. Plus de détails sur l’affaire Francophoned se trouvent sur le blogue de Symantec.
Crédit photo : © Heike Brauer – shutterstock
Voir aussi
Quiz Silicon.fr – Crimes et châtiments sur Internet
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.