Une campagne de phishing utilisant de fausses notifications de messagerie vocale a en fait ciblé et continue de cibler diverses entreprises basées aux États-Unis, dans le but de saisir les identifiants de connexion Office365 et Outlook des employés, alerte Zscaler.
La campagne semble être une répétition d’une précédente, comparable, et cible les fournisseurs de solutions de sécurité, les concepteurs de logiciels de sécurité, les organisations de la chaîne d’approvisionnement dans la production et l’expédition, les sociétés de soins de santé et pharmaceutiques et l’armée américaine. Zscaler faisait partie des entreprises ciblées, ce qui leur a permis d’analyser le projet dans son intégralité.
Déroulement de l’attaque
Le tout est on ne peut plus simple : la cible reçoit une fausse notification par e-mail, en indiquant qu’ils ont un nouveau message vocal qu’ils peuvent écouter en ouvrant l’accessoire HTML confiné.
Pour rendre l’alerte plus crédible, les agresseurs s’assurent que l’e-mail ‘Depuis » mentionne spécifiquement le nom de l’entreprise ciblée.
Le fichier HTML connecté contient du JavaScript codé qui dirige finalement la cible vers un site Web contrôlé par l’attaquant, dont l’URL est spécialement conçue pour la personne ciblée et l’entreprise ciblée .
Ils rencontrent d’abord une vérification CAPTCHA, qui sert à échapper aux outils anti-phishing, puis ils atterrissent sur une page de phishing sur le thème de Microsoft garée sur une page/un domaine qui n’a aucun lien avec Microsoft, mais autrement semble crédible :
« L’objectif de l’étoile du danger est de prenez les qualifications des comptes Office365 et Outlook, qui sont tous deux largement utilisés dans les grandes entreprises », déclarent les scientifiques de Zscaler.
Les campagnes de phishing sur le thème de la messagerie vocale continuent de se développer, notent-ils, car elles sont efficaces. Les utilisateurs ne doivent pas ouvrir d’accessoires dans les e-mails envoyés par des sources non fiables ou inconnues et doivent valider l’URL dans la barre d’adresse du navigateur Internet avant de saisir des informations d’identification, encouragent-ils.
L’entreprise a partagé une liste des domaines enregistrés par les attaquants auxquels les défenseurs d’entreprise peuvent bloquer l’accès.
Toute l’actualité en temps réel, est sur L’Entrepreneur
