Posté le juin 2, 2021 à 18:21
LES HACKERS CIBLENT LES EMPLOYÉS DE RETOUR À LEUR LIEU DE TRAVAIL DANS DE NOUVELLES ATTAQUES DE PHISHING
Les travailleurs reprennent maintenant le travail après que la plupart des régions ont levé les restrictions liées à la COVID-19. Cependant, des rapports récents ont révélé que des acteurs malveillants ciblent désormais ces employés dans leurs bureaux.
Depuis l’année dernière, lorsque les travailleurs ont dû travailler à domicile en raison de la pandémie, les hackers ont changé de cible et se sont concentrés sur ces travailleurs. Cependant, certains acteurs malveillants lancent maintenant de nouvelles campagnes d’hameçonnage visant les personnes qui retournent dans les bureaux post-Covid-19.
Selon la société de sécurité Cofense, la campagne par e-mail envoie des courriels aux employés qui reviennent, prétendument pour leur souhaiter la bienvenue dans leurs bureaux.
Les hackers ont fait en sorte que l’e-mail ait l’air suffisamment authentique pour que leurs cibles les croient. Il comporte le logo officiel de l’entreprise en haut et la signature du directeur de l’information à la fin.
Le contenu du message électronique informe les travailleurs des changements apportés aux opérations de l’entreprise et des nouvelles précautions que les travailleurs doivent prendre, en ce qui concerne la pandémie.
L’e-mail contient également un lien redirigeant le travailleur vers une page Microsoft SharePoint qui héberge deux fichiers portant la marque de l’entreprise.
Mais un examen plus approfondi des fichiers révèle qu’ils ne sont pas authentiques. Ils ont été créés par les hackers pour être utilisés comme mécanismes de phishing afin d’obtenir les informations d’identification de leurs cibles.
Une pratique de phishing inhabituelle
Selon l’analyste des menaces du Phishing Defense Center de Cofense, Dylan Main, le fait de rediriger les utilisateurs a pour but d’avoir accès aux identifiants de connexion de la victime.
Lorsque l’utilisateur essaie d’ouvrir le document, un panneau de connexion s’affiche, l’invitant à saisir ses informations de connexion pour avoir accès au document.
Main a qualifié cette tactique de très rare, considérant que la plupart des courriels de phishing de Microsoft conduisent la cible vers une autre page de phishing.
Dans ce cas, les acteurs malveillants font en sorte que le fichier semble authentique, ce qui augmente les chances que la cible fournisse des informations de connexion pour accéder au fichier. Et dans de nombreux cas, l’utilisateur peut être prêt à fournir les détails pour voir les mises à jour censées provenir de son employeur.
Utilisation de fausses informations d’identification validées
Cofense a également signalé que les acteurs malveillants explorent d’autres options pour voler les informations d’identification des utilisateurs. Ils utilisent de fausses informations d’identification validées en rejetant plusieurs fois les informations de connexion de la cible. Une fois que la cible a saisi les détails, une notification s’affiche avec le message suivant : « Votre compte ou votre mot de passe est incorrect. »
Après quelques autres tentatives, la cible sera redirigée vers une véritable page Microsoft, qui la convaincra que les identifiants de connexion étaient corrects. Le document OneDrive est alors accessible à l’employé, mais les acteurs malveillants ont également réussi à obtenir l’accès aux informations de son compte.
Il ne s’agit pas de la première campagne ciblant les employés de retour au travail, puisque les chercheurs de CheckPoint en ont découvert une l’année dernière.
En outre, il ne s’agit peut-être pas de la dernière campagne ciblant le lieu de travail post-COVID, comme le note Cofense.
De nombreuses organisations ont rédigé des messages utilisés pour accueillir leurs employés dans leur environnement de travail physique au sein de l’organisation. Certains hackers peuvent s’emparer de ces messages et les cloner pour qu’ils paraissent vrais aux yeux de leurs cibles.
Les travailleurs à distance seront toujours visés
Les employés de grandes entreprises technologiques comme Google et Microsoft ont commencé à retourner sur leur lieu de travail et les dirigeants s’attendent à ce que plus de 50 % d’entre eux soient de retour d’ici juillet. Cela laisse une fenêtre d’opportunité aux acteurs malveillants pour en profiter.
Les acteurs malveillants s’appuieront probablement sur les thèmes utilisés par ces organisations pour accueillir leur personnel et tenteront de voler les informations d’identification des utilisateurs par le biais d’attaques de phishing similaires.
Alors que certaines organisations ont ouvert leurs bureaux pour accueillir leurs employés de retour, d’autres respectent toujours les restrictions dues au COVID-19. Par conséquent, certains acteurs malveillants continueront à se concentrer sur les travailleurs à distance tout en essayant le nouveau thème sur ceux qui reviennent, selon la conseillère stratégique de Cofense Tonia Dudley.
Elle ajoute que l’on s’attend à ce qu’un modèle de travail hybride soit mis en place à l’avenir, les travailleurs de retour et ceux qui travaillent encore à domicile étant des cibles pour les attaques de phishing.
