France - L'identité de Cybermalveillance usurpée dans le cadre d'une attaque d'hameçonnage 

Depuis le 1er juillet 2024, une campagne d'hameçonnage cible principalement les utilisateurs de messagerie électronique en usurpant l'identité de Cybermalveillance. Décryptage d'Achraf Hamid, Data Scientist chez Mailinblack.

L’organisation Cybermalveillance a pour missions d'assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s'en protéger.

Les fraudeurs envoient des e-mails sous le thème "Programme de soutien aux victimes de fraude", exploitant des logos officiels et proposant un faux programme de remboursement pour les victimes d'arnaque.

Mailinblack révèle que parmi ses clients, 160 entreprises ont déjà été visées. Si 100 % de ces tentatives ont été interceptées par les solutions Mailinblack, cet incident souligne l'importance cruciale de sécuriser les messageries professionnelles contre de telles menaces pour protéger les données des organisations mais aussi celles des collaborateurs et des clients.

Analyse de l’attaque : quelles techniques sont utilisées par ces hackeurs ?

1. Utilisation d'une entité de confiance : les hackeurs ont usurpé l’identité de Cybermalveillance, structure référence et crédible d’information et d’accompagnement cyber qui vient en aide aux particuliers et aux organisations ;
2. Stratégie d'objet trompeur : ces attaquants ajoutent souvent "TR" ou "RE" à l'objet des e-mails, même si les messages ne sont ni des transferts ni des réponses. Cette méthode vise à induire les destinataires en erreur, exploitant un biais de confirmation pour donner l'illusion d'une continuité dans la communication ;
3. Usurpation d'identité combinée au spoofing : ces attaquants ont combiné cette usurpation des adresses email de Cybermalveillance à une technique courante dans ce type d’attaques : l’email spoofing. Il consiste à falsifier les en-têtes d’e-mails pour faire apparaître leurs messages comme étant envoyés par des entités fiables. Des exemples incluent des usurpations d'identités d'organisations réputées telles qu'un établissement public ou des mairies. Ces techniques de manipulation spécifiques incluent des adresses telles que mairie+_redir+O98jU!9Q9Ukj@ et info+_redir+O98jU9àQ9Ukj@ ;
4. Cibles des attaques : la majorité des attaques ciblent des boîtes de messageries génériques, fonctionnelles ou de contact. Les adresses couramment visées incluent direction@, contact@, secretariat@, et info@ ;
5. Horaires des attaques : les attaques sont souvent menées de façon ciblée et stratégique. Environ 35% d’entre elles sont lancées entre 8h et 10h du matin, moment où les activités professionnelles commencent généralement, augmentant ainsi la probabilité de réponse rapide. Un autre pic d'activité est observé à 15h, représentant 25% des attaques. Les envois restants sont dispersés tout au long de la journée, avec des activités notables même à des heures tardives comme 22h et 2h du matin.