Vrais phishings, mais vrais mails aussi

Depuis fin mars 2020, nous observons un phénomène inquiétant : des campagnes emailing de phishing utilisant des contenus légitimes.

Autrement dit, vous recevez une « vraie » newsletter, ou encore un « vrai » questionnaire de satisfaction d’un service à distance : chaque mail a bien été créé par l’auteur affiché. Mais pas envoyé par cet auteur, et tous les hyperliens qu’elle contient vous dirigent vers un site web alternatif, destiné à infecter votre ordinateur.

C’est particulièrement habile de la part du cybercriminel : les contenus des mails sont de qualité et crédibles… puisqu’il s’agit de vrais emails, adressés initialement à une autre personne. Et les messages relayés n’ont pas été choisis au hasard : tous les échantillons que nous avons collectés contiennent des incitations naturelles au clic. Et si malgré tout vous décidez de vous désinscrire, vous tomberez également dans le piège :

Extrait newsletter du Point
Extrait email d'enquête Orange

Face à ces attaques, notre vigilance est souvent déjouée car le message ne comporte aucun des signaux habituels d’un phishing : une mise en page très professionnelle, un sujet sans rapport avec les services habituellement usurpés comme les banques, aucune faute d’orthographe, … et aucune alerte des filtres antispam/antivirus, du moins durant les premières heures.

Car c’est une des forces de ces attaques : envoyer rapidement et en volume des mails en rapport avec l’actualité avec des hyperliens sur des sites infectés mais pas encore connus des antivirus.

Outre la vigilance accrue, comme garder le réflexe de survoler un lien avant de cliquer dessus pour vérifier le site de destination même si l’expéditeur semble légitime, une de nos précédentes recommandations s’applique plus que jamais : utiliser une adresse email par service ou abonnement. Si le mail n’est pas reçu sur l’adresse email attendu, c’est qu’il n’est pas légitime !

Werner KLINGER
Ingénieur Conseil Web & NTIC.