Rétrospective de la semaine 44

09.11.2021 - Le NCSC a reçu un nombre modéré d'annonces la semaine dernière. Outre de nombreux courriels d'hameçonnage, les principales attaques ont eu pour cibles des serveurs Microsoft Exchange. Des courriels envoyés à partir des serveurs piratés contenaient des maliciels. Une nouvelle escroquerie prend la forme d'une demande d'offre pour un «étau à vis submersible» qui mène les victimes vers une page web douteuse.

Envoi de logiciels malveillants par courriel après une attaque ciblant des serveurs Exchange

Il y a deux semaines, nous avions déjà parlé de l'augmentation du nombre de courriels malveillants s'appuyant sur une conversation électronique existante. Des liens vers des maliciels sont ajoutés à d'anciens courriels qui sont ensuite renvoyés à leur destinataire. Mis en confiance par l'échange de courriels précédent, ce dernier ouvre un document et installe ainsi un logiciel malveillant.

Afin de mettre la main sur l'échange en question, les escrocs doivent avoir accès au compte de l'expéditeur ou à celui du destinataire. Le maliciel utilisé actuellement, «Qakbot», dispose pour ce faire d'un module qui extrait les courriels du client Outlook à l'aide de données d'accès volées, avant de les télécharger sur un serveur distant. Les courriels sont ensuite utilisés pour d'autres attaques. Les escrocs envoient normalement les courriels à partir de leur infrastructure, ce qui permet de reconnaître les faux messages.

Ces derniers jours, on signale de plus en plus que de tels courriels falsifiés sont envoyés à partir de l'infrastructure de messagerie électronique de l'entreprise. Les escrocs utilisent donc au moins les données d'accès d'un compte piraté appartenant à l'entreprise. Le NCSC a toutefois des raisons de penser qu'il ne s'agit pas d'un simple vol des identifiants d'un compte de messagerie électronique. En effet, les pirates seraient en mesure d'exploiter une faille dans le serveur Exchange pour arriver à leurs fins.  

  • Le NCSC recommande aux exploitants de serveurs Microsoft Exchange d'installer sans délai tous les correctifs correspondants et de maintenir les serveurs à jour.
  • Les serveurs Exchange ne doivent pas être directement accessibles depuis Internet. Installez un pare-feu pour applications (Web Application Firewall, WAF) ou placez un proxy de filtrage SMTP devant le serveur Exchange.

Demande d'offre qui cache une escroquerie

La semaine dernière, le NCSC a eu vent d'un courriel singulier envoyé au nom des CFF à diverses entreprises. Il contenait une demande d'offre pour un modèle très particulier d'étau à vis, utilisable sous l'eau. Le message indiquait que ce produit peu commun ne serait sûrement pas en stock et qu'il faudrait le commander auprès d'un tiers. Le courriel insistait sur l'urgence de la demande.

Demande d'offre pour un étau à vis submersible
Demande d'offre pour un étau à vis submersible

Si l'on recherche ledit produit sur Google, on trouve tout en haut des résultats une entreprise qui propose exactement le modèle désiré. On ne trouve la dénomination de l'article à commander que sur ce site, et nulle part ailleurs. Par hasard, cette société dispose d'un siège en Suisse et même d'un numéro de téléphone suisse. Il est donc aisé de commander l'article rarissime. La mission semble vite accomplie et devrait rapporter gros.

Mais où est le piège dans cette demande apparemment anodine? Les aigrefins partent du principe que les entreprises s'informeront sur Internet au sujet de l'étau à vis et qu'elles chercheront où le commander. C'est là qu'il y a anguille sous roche!

Recherche sur Google d'un étau à vis submersible
Recherche sur Google d'un étau à vis submersible

Lorsque l'on regarde le site Internet de plus près, on remarque plusieurs incohérences. Le site Internet n'existe que depuis le 1er octobre 2021, un mois avant le début véritable de l'escroquerie, afin que Google puisse l'indexer. L'adresse de contact fournie n'existe pas, et on ne trouve pas d'inscription au registre du commerce. Il y a donc fort à parier que les escrocs ont créé ce site Internet spécialement pour attirer les personnes intéressées par l'étau à vis submersible et les inciter à payer une avance. Bien entendu, le produit ne sera jamais livré. Ce type d'escroquerie est aussi connu sous le nom de «demande de prix».

  • Avant d'effectuer un achat en ligne, vérifiez la fiabilité de l'entreprise en question.
  • En plus des informations sur Internet, la vérification de l'inscription au registre du commerce ou de l'adresse peut fournir des indications sur le sérieux d'une entreprise.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 09.11.2021

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/wochenrueckblick_44.html