En bref : Les entreprises technologiques ont investi beaucoup de temps et d’énergie dans la détection et le blocage des courriels suspects sur la base de leur contenu textuel. Cependant, les escrocs trouvent de nouveaux moyens d’échapper à ces mesures de sécurité, comme l’illustre une récente campagne visant à voler des comptes en envoyant des courriels sans aucun texte, ciblant des employés de divers secteurs d’activité.
Les chercheurs en sécurité d’Inky ont récemment découvert une série de courriels frauduleux qui contournent certains filtres anti-spam conventionnels en utilisant des versions jointes sous forme d’images et des codes QR. Les escroqueries ne semblent pas avoir de cible spécifique mais tentent toutes de voler les informations d’identification des employés.
Ces courriels malveillants se font généralement passer pour le service d’assistance de Microsoft ou pour l’employeur de la victime, et sont souvent envoyés à partir de comptes professionnels authentiques qui ont été précédemment compromis. Ils demandent généralement au destinataire de les aider à récupérer leur mot de passe ou à activer l’authentification à deux facteurs, en faisant souvent preuve d’un grand sens de l’urgence – une tactique courante dans les escroqueries par hameçonnage.
De nombreux systèmes de sécurité du courrier électronique sont configurés pour détecter les courriels d’hameçonnage en analysant leur texte à la recherche de termes fréquemment associés à des escroqueries. Les courriels découverts par Inky échappent à ces mesures de sécurité en raison de l’absence de texte HTML.
Au lieu de cela, les attaquants créent le corps du message dans une image jointe. Les plateformes de messagerie affichent automatiquement cette image dans le champ principal, ce qui fait croire aux destinataires qu’il s’agit de l’e-mail proprement dit. Inky a contré cette tactique en utilisant la reconnaissance optique de caractères (OCR), qui scanne et extrait le texte des images et des PDF, les rendant ainsi identifiables par d’autres filtres anti-spam.
Les messages comprennent également des codes QR intégrés, qui dirigent les victimes vers des sites web de phishing imitant les écrans de connexion aux comptes Microsoft. Les pirates volent ensuite les identifiants de connexion. Ces pages contrefaites sont conçues de manière convaincante et les URL contiennent les adresses électroniques des destinataires afin de créer un faux sentiment de légitimité.
Inky a rencontré plus de 500 courriels de ce type visant un large éventail d’organisations aux États-Unis et en Australie. Parmi les victimes figurent un géomètre, une entreprise de revêtement de sol, des organisations à but non lucratif, des sociétés de gestion de patrimoine, des sociétés de conseil, etc. L’étendue de la cible suggère que les attaquants ratissent large pour augmenter leurs chances de succès.
Lorsqu’un courriel demande des informations sur un compte, les utilisateurs doivent inspecter méticuleusement l’adresse électronique de l’expéditeur et les URL de toutes les pages qui ressemblent à des écrans de connexion. Si cela est possible, contacter l’expéditeur par d’autres moyens de communication est un moyen efficace de valider l’origine du courriel. Il va sans dire que vous ne devez pas scanner les codes QR provenant de sources inconnues.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
