Pendant environ six mois, les comptes de messagerie professionnels appartenant à plus de 100 employés du National Health System (NHS) au Royaume-Uni ont été utilisés dans plusieurs campagnes de phishing, certaines visant à voler des identifiants Microsoft.
Les attaquants ont commencé à utiliser des comptes de messagerie légitimes du NHS en octobre de l’année dernière après les avoir détournés et ont continué à les utiliser dans des activités de phishing jusqu’en avril 2022 au moins.
NHS
Plus d’un millier de messages de phishing ont été envoyés à partir de comptes de messagerie du NHS appartenant à des employés en Angleterre et en Écosse, selon des chercheurs de la sécurité des e-mails INKY.
Les chercheurs ont suivi les messages frauduleux comme provenant de deux adresses IP du NHS, envoyées à partir des comptes de messagerie de 139 employés du NHS. INKY a détecté 1 157 e-mails frauduleux chez ses clients en provenance des deux adresses.
« Le NHS a confirmé que les deux adresses étaient des relais au sein du système de messagerie [NHSMail] utilisé pour un grand nombre de comptes », a déclaré INKY dans un rapport aujourd’hui.
Dans la plupart des cas, les messages de phishing envoyaient de fausses alertes pour la livraison de nouveaux documents liés à des pages frauduleuses demandant des informations d’identification Microsoft.
Pour rendre l’e-mail plus crédible, les attaquants ont ajouté l’avertissement de confidentialité du NHS au bas du message.
Dans d’autres échantillons recueillis par les chercheurs d’INKY, le message de phishing imitait des marques comme Adobe et Microsoft en ajoutant les logos des entreprises.
Les campagnes semblent avoir eu une large portée et en plus de tenter de voler des informations d’identification, il y a eu quelques cas de frais avancés où l’attaquant a informé d’un don massif de 2 millions de dollars au destinataire.
Bien entendu, la réception des fonds entraînait un coût pour la victime potentielle sous la forme de données personnelles (par exemple, nom et adresse complets, numéro de téléphone portable).
La réponse au message a renvoyé une réponse de quelqu’un utilisant le nom de Shyann Huels et prétendant être « le secrétaire spécial de M. Jeff Bezos sur les affaires internationales ».
Le même nom et le même message dans l’image ci-dessus ont été vus dans des escroqueries début avril et l’individu derrière l’opération a une adresse de portefeuille de crypto-monnaie qui a reçu environ 4,5 bitcoins, d’une valeur actuelle d’environ 171 000 $.
INKY est en contact avec le NHS depuis qu’ils ont découvert la campagne de phishing. L’agence britannique a traité le risque après la mi-avril en passant des déploiements Microsoft Exchange sur site au service cloud.
Cependant, cette décision a complètement mis fin au phishing, car les clients d’INKY ont continué à recevoir des messages frauduleux, bien qu’en nombre beaucoup plus restreint.
Cela était dû au fait que le NHS fournissait une infrastructure à des dizaines de milliers d’organisations (hôpitaux, cliniques, fournisseurs, cabinets médicaux) dans le pays qui s’appuient sur diverses solutions techniques.
Roger Kay, vice-président de la stratégie de sécurité d’INKY, souligne que ces campagnes ne résultent pas d’une violation du serveur de messagerie du NHS « mais plutôt de comptes piratés individuellement ».