Une nouvelle campagne de phishing ciblant les utilisateurs allemands de services bancaires en ligne a été lancée au cours des deux dernières semaines, impliquant des codes QR dans le processus d’enlèvement d’identifiants.
Les acteurs utilisent une panoplie d’astuces pour contourner les solutions de sécurité et convaincre leurs cibles d’ouvrir les messages et de suivre les instructions.
Le rapport pertinent provient de chercheurs de Cofense, qui a échantillonné plusieurs de ces messages et cartographié les tactiques des acteurs en détail.
Une livraison propre
Les e-mails de phishing sont soigneusement conçus, avec des logos bancaires, un contenu bien structuré et un style généralement cohérent.
Leurs sujets varient, allant de demander à l’utilisateur de consentir aux changements de politique de données mis en œuvre par la banque ou de lui demander de revoir de nouvelles procédures de sécurité.
Source : Cofense
Cette approche est le signe d’une planification minutieuse, où les acteurs ne font pas les déclarations exagérées typiques de compromission de compte et ne présentent pas à l’utilisateur une situation urgente.
Si le bouton intégré est cliqué, la victime arrive sur le site de phishing après être passée par le service proxy de flux de Google « FeedBurner ».
Source : Cofense
De plus, les acteurs enregistrent leurs propres domaines personnalisés qui sont utilisés pour ces redirections ainsi que pour les sites de phishing eux-mêmes.
Cette étape supplémentaire vise à inciter les solutions de sécurité de messagerie et Internet à ne lever aucun signal pendant le processus de phishing.
Les domaines sont des sites nouvellement enregistrés sur le registraire russe REG.RU et suivent une structure d’URL standard en fonction de la banque ciblée.
Scannez ce code QR pour nous donner vos identifiants
Dans les campagnes de phishing les plus récentes, les auteurs de menaces utilisent des codes QR au lieu de boutons pour diriger les victimes vers des sites de phishing.
Ces e-mails ne contiennent pas d’URL en texte clair et sont masqués par les codes QR, ce qui rend difficile leur détection par les logiciels de sécurité.
Source : Cofense
Les codes QR ont une efficacité accrue car ils ciblent les utilisateurs mobiles, qui sont moins susceptibles d’être protégés par des outils de sécurité Internet.
Une fois que la victime arrive sur le site d’hameçonnage, elle est invitée à saisir son emplacement bancaire, son code, son nom d’utilisateur et son code PIN.
Source : Cofense
Si ces informations sont saisies sur la page de phishing, l’utilisateur attend la validation, puis est invité à saisir à nouveau ses informations d’identification car elles sont incorrectes.
Source : Cofense
Cette répétition est une tactique de qualité courante dans les campagnes de phishing pour éliminer les fautes de frappe lorsque l’utilisateur saisit ses informations d’identification pour la première fois.
Quelle que soit la légitimité d’un e-mail, vous devez éviter de cliquer sur des boutons, des URL ou même des codes QR qui vous dirigeront vers un site externe.
Chaque fois que vous êtes invité à saisir les informations d’identification de votre compte, n’oubliez pas de valider d’abord le domaine sur lequel vous vous trouvez avant de commencer à taper.