Les arnaques du web pullulent et se ressemblent. Comme l’a détecté Infoblox, une nouvelle campagne de phishing est actuellement en cours afin de dérober vos identifiants WeTransfer. Les hackers utilisent pour cela des malspam, soit des spams malveillants, avec des intitulés du type « Demande de devis Urgent ». Ces mails, vides, ne semblent pas si dangereux à première vue, sauf qu’ils contiennent une pièce jointe malveillante : un fichier HTML appelé « order – Copy.html ».
Ce n’est donc pas un hack a proprement parler, mais plutôt du spam d’ingénierie sociale destiné à attiser votre curiosité et à vous pousser à cliquer sur la pièce jointe. Le fichier HTML vous renvoie par la suite à une autre page HTML vous indiquant qu’il vous faut vous connecter à WeTransfer pour accéder à un document sécurisé. C’est là qu’en rentrant vos identifiants, un « iframe » intégré à la page malveillante les transfère sur un serveur distant contrôlé par l’attaquant. Évidemment, si les conséquences d’un vol d’identifiant WeTransfer n’impacteront pas tout le monde, cela peut s’avérer dramatique dans le cas où le service est utilisé professionnellement afin de transférer des fichiers confidentiels entre collaborateurs.
Afin d’éviter cette arnaque comme d’autres, Infoblox conseille de « toujours considérer comme suspects des emails vides ou sans objet précis, spécialement ceux qui incitent à ouvrir une pièce jointe ou cliquer sur un lien » mais aussi de « toujours examiner les types de fichiers en attachement, et ne jamais ouvrir des fichiers pouvant être des scripts (.vbs, .cmd, .bat), un fichier de raccourci Internet ou un fichier compressé. Ces derniers sont fréquemment utilisés par les attaquants pour contourner les méthodes de détection traditionnelles basées sur des signatures, et pour masquer l’identité réelle du fichier malveillant. »
[amazon box=”B089PJM4J5″]
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.