Des cybercriminels utilisent Dropbox pour voler les identifiants d’employés du secteur financier

0
146

Les chercheurs de Kaspersky ont mis au jour un stratagème de phishing déployé en plusieurs étapes prenant pour cible des employés chargés de traiter des documents financiers. Dans un premier temps, les victimes reçoivent un mail provenant de l’adresse légitime d’un cabinet d’audit. Cette première interaction a pour but de rendre le destinataire moins méfiant : il s’agit d’une étape préparatoire pour faciliter la mise en œuvre de l’attaque. Les personnes prises pour cible reçoivent ensuite une notification de Dropbox, contenant des liens malveillants vers des archives où les cybercriminels ont déposé des fichiers de phishing destinés à voler des informations d’identification.

Tribune Kaspersky – L’arnaque commence de cette façon : les agents malveillants envoient à leurs victimes potentielles un mail provenant soi-disant d’une société d’audit légitime. Ces messages sont envoyés à partir d’une adresse authentifiée, vraisemblablement détournée par les attaquants. Ces derniers utilisent des tactiques d’ingénierie sociale pour faire baisser la garde des victimes et les préparer à recevoir une archive Dropbox.

Première étape du stratagème : la victime reçoit un courriel d’un prétendu « auditeur »

« Aux yeux de ceux qui le lisent, l’email semble légitime et écrit par un être humain. Les logiciels de cybersécurité ne relèvent pas d’irrégularité non plus. Le prétexte selon lequel une société d’audit dispose d’informations relatives au destinataire est plausible, tout comme la clause de non-responsabilité concernant le partage d’informations confidentielles. En outre, l’e-mail ne contient ni lien ni pièce jointe et provient d’une adresse d’entreprise facilement vérifiable en ligne, ce qui le rend presque impossible à détecter par un filtre anti-spam », explique Roman Dedenok, expert en sécurité chez Kaspersky.

Le seul élément suspect pouvant être relevé dans le mail concerne le service « Dropbox Application Secured Upload » mentionné par l’auteur. Ce service n’existe pas. Bien que les fichiers téléchargés sur Dropbox puissent être protégés par un mot de passe, il n’existe actuellement pas de dispositifs de sécurité supplémentaires. 

À la suite de cet e-mail, les auteurs envoient aux victimes une notification officielle de Dropbox. Si le destinataire s’est déjà montré enclin à répondre au message initial, il est d’autant plus probable qu’il suive le lien pour consulter le document.

La notification Dropbox

En cliquant sur le lien, un document flouté apparaît, derrière une boîte de dialogue demandant au destinataire de s’authentifier. Le bouton cliquable contient un lien malveillant, redirigeant l’utilisateur vers un formulaire où il doit rentrer son identifiant et son mot de passe professionnels, permettant ainsi aux cybercriminels de mettre la main sur ces informations.

Le fichier PDF malveillant déposé sur Dropbox, imitant une demande d’authentification

Kaspersky identifie ces attaques comme étant des attaques ciblées, s’articulant autour de cas isolés. Le stratagème est décrit en détail sur Kdaily

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.