Après avoir corrigé les failles de sécurité du serveur Exchange par lesquelles les cybercriminels s’étaient précédemment introduits, les chercheurs de la société de sécurité informatique Sophos ont observé de nouvelles attaques par courriel contre les employés d’une organisation concernée. Les courriels provenaient d’un domaine ressemblant à s’y méprendre à la véritable adresse du serveur de messagerie, un domaine dit de typosquattage – par exemple he1se.de au lieu de heise.de. Il s’agit de « spear phishing », c’est-à-dire d’attaques ciblées sur des personnes de l’organisation par le biais de l’ingénierie sociale. En général, les attaques contre les collaborateurs se terminent après un nettoyage du serveur Exchange.
Selon Sophos, les attaquants ont d’abord copié l’historique des courriels du serveur Exchange, dans lequel ils avaient pu s’introduire auparavant par des failles de sécurité comme ProxyLogon. Une fois le serveur sécurisé, les pirates ont enregistré un domaine d’apparence similaire et ont créé des e-mails basés sur les historiques copiés. Ils voulaient ainsi faire croire qu’il s’agissait d’un employé autorisé de l’organisation.
Sommaire
Virements bancaires
Dans les e-mails, les cybercriminels tentaient d’inciter les victimes à verser des sommes d’argent sur les comptes des escrocs. Pour ce faire, ils envoyaient des e-mails depuis le domaine de typosquattage et y joignaient l’historique des e-mails précédents. Ils ajoutaient en outre d’autres destinataires pour donner l’impression de provenir réellement de l’organisation.
Dans les premiers e-mails, les pirates annonçaient de nouveaux détails sur le compte, pour ensuite exercer une pression de plus en plus forte dans les e-mails suivants, en indiquant qu’il s’agissait d’un cas urgent. Dans le cas concret, cela a effectivement convaincu un collaborateur. L’un des établissements financiers impliqués a toutefois stoppé le paiement, car il soupçonnait une fraude.
La mise à jour ne suffit pas
Dans son communiqué, Sophos explique que la première chose à faire pour éviter de telles attaques est de corriger les failles de sécurité du serveur Exchange local. Afin de reconnaître plus facilement les messages provenant de domaines de typosquattage ou de ne pas les laisser parvenir aux destinataires, il est recommandé de sécuriser le domaine de messagerie à l’aide du Sender Policy Framework (SPF), du DomainKeys Identified Mail (DKIM) ou du Domain Message Authentication Reporting and Conformance (DMARC). Les chercheurs ajoutent également à la liste des mesures la formation des collaborateurs afin de reconnaître le (spear) phishing potentiel.
On peut déduire de ce cas que la protection des serveurs de messagerie devrait être une priorité. Les administrateurs et les responsables informatiques devraient mettre en place une protection à l’aide du SPF et d’une authentification similaire du serveur de messagerie. Si des pirates parviennent à accéder à l’historique des courriers électroniques, cela pourrait leur faciliter inutilement la tâche lors d’attaques futures contre l’entreprise et ses collaborateurs.
Lire aussi
