De nouvelles campagnes de phishing se font passer pour l’OMS et des plateformes de conférence populaires pour dérober des informations sensibles
- Check Point a enregistré 192 000 cyberattaques liées au coronavirus par semaine au cours des trois dernières semaines, soit une augmentation de 30 % par rapport aux semaines précédentes
- Au cours des trois dernières semaines, près de 20 000 nouveaux domaines liés au coronavirus ont été enregistrés : 17 % d’entre eux sont malveillants ou suspects
Tandis que nous essayons tous de nous habituer à la « nouvelle normalité » de la pandémie de Covid-19 dans nos vies professionnelles et personnelles, cette année a été une période d’opportunités sans précédent pour les cybercriminels. La réponse mondiale à la pandémie, et notre désir d’obtenir des informations récentes sur ce sujet, ont décuplé les activités des criminels et des pirates, et leur utilisation des emails de phishing et des faux sites web.
Au point qu’Interpol et Europol ont émis des mises en garde contre les pics d’escroqueries liées à Covid-19. À la mi-avril, Google a indiqué qu’en une semaine seulement, plus de 18 millions d’emails malveillants et d’emails de phishing liés aux escroqueries sur Covid-19 ont été envoyés quotidiennement via Gmail. Cela s’ajoute aux 240 millions de messages de spam quotidiens sur Covid-19 détectés par Google.
Pourquoi les criminels comptent-ils autant sur les emails de phishing pour lancer des attaques ?
La réponse est simple : parce que cela fonctionne. Le rapport d’enquête de Verizon sur les fuites de données en 2019 indique que 32 % des fuites de données dans les entreprises commencent par des emails de phishing. Le phishing est également associé à 78 % des incidents de cyberespionnage. Il n’est donc pas surprenant que les criminels continuent d’essayer d’inciter les utilisateurs à leur révéler des informations sensibles, en profitant de l’intérêt suscité par la pandémie et en se faisant passer pour des organisations et des sociétés bien connues telles que l’Organisation mondiale de la santé (OMS), Zoom, Microsoft ou Google.
Qui essaie de m’atteindre ?
Par exemple, des cybercriminels ont récemment envoyé des emails malveillants en se faisant passer pour l’OMS à partir du domaine « who.int » avec pour objet « Lettre urgente de l’OMS : Résultats des premiers essais d’un vaccin Covid-19 sur des humains ». Les emails contenaient un fichier nommé « xerox_scan_covid-19_urgent information letter.xlxs.exe » avec le logiciel malveillant Agent Tesla. Les victimes qui ont cliqué sur le fichier ont déclencher le téléchargement du logiciel malveillant.
Nous avons également trouvé deux exemples d’emails d’extorsion prétendument envoyés par les Nations Unies et l’OMS demandant que des fonds soient envoyés à plusieurs portefeuilles de bitcoins compromis.
Usurpation de l’identité des applications de vidéoconférence
Comme le travail à domicile est désormais la norme pour une majorité de personnes pendant la pandémie, nous avons déjà signalé que des cybercriminels utilisaient de faux domaines Zoom pour leurs activités de phishing. Au cours des trois dernières semaines, 2 449 nouveaux domaines liés à Zoom ont été enregistrés. 1,5 % de ces domaines sont malveillants (32) et 13 % sont suspects (320). Depuis janvier 2020, 6 576 domaines liés à Zoom ont été enregistrés dans le monde entier.
Zoom n’est pas la seule plateforme dont les cybercriminels essaient de détourner l’identité. Microsoft Teams et Google Meet ont également été utilisées pour attirer des victimes. Récemment, des utilisateurs ont été victimes d’emails de phishing dont le sujet était « Vous avez été ajouté à une équipe dans Microsoft Teams ».
Ces emails contenaient une URL malveillante (« http://login/.microsoftonline.com-common-oauth2-eezylnrb/.medyacam/.com/common/oauth2/ »), provoquant le téléchargement de logiciels malveillants sur les ordinateurs des victimes lorsqu’elles cliquaient sur l’icône « Ouvrir Microsoft Teams » menant à cette URL. Le lien réel menant à Microsoft Teams est « https://teams.microsoft.com/l/team ».
Il existe également de faux domaines Google Meets, tels que Googelmeets[.]com enregistré le 27 avril 2020. Bien entendu, le lien ne conduit pas les victimes à un véritable site web Google.
Augmentation du volume de cyberattaques liées au coronavirus
Au cours des trois dernières semaines, 192 000 attaques liées au coronavirus se sont produites par semaine, soit une augmentation de 30 % par rapport aux semaines précédentes. Nous définissons comme étant des attaques liées aux coronavirus celles qui impliquent
- des sites web ayant pour domaine « corona » ou « covid »
- des fichiers contenant « Corona » dans leur nom
- des fichiers diffusés par des emails ayant pour sujet le coronavirus
Domaines liés au coronavirus
En examinant les nouveaux domaines enregistrés liés au coronavirus, nous avons constaté qu’ils étaient une représentation fidèle des différentes étapes de la pandémie dans le monde.
- Au début de l’épidémie, les domaines comportant des cartes (les zones géographiques ayant connu une augmentation des cas de coronavirus) étaient très courants, ainsi que les domaines liés aux symptômes du coronavirus.
- Vers la fin du mois de mars, l’accent a été mis sur les mesures d’aide financières associées aux plans de relance économique mis en œuvre par différents pays.
- Depuis que certains pays ont commencé à assouplir les restrictions et planifier le retour à une vie normale, les domaines liés à la vie après le coronavirus sont devenus plus courants, ainsi que les domaines concernant une éventuelle seconde vague du virus.
- Pendant toute la durée de la pandémie, les domaines liés aux kits de tests et aux vaccins sont restés très courants, avec de légères augmentations au fil du temps.
Comme nous l’avons déjà signalé, depuis la mi-février, nous avons constaté une augmentation du nombre de domaines enregistrés sur le thème du coronavirus. Au cours des trois dernières semaines, 19 749 nouveaux domaines liés au coronavirus ont été enregistrés. 2 % de ces domaines sont malveillants (354) et 15 % sont suspects (2 961).
Jusqu’à présent depuis le début de l’épidémie, 90 284 nouveaux domaines liés au coronavirus ont été enregistrés au total dans le monde.
Pour se protéger des attaques de phishing liées au coronavirus
Pour qu’une attaque de phishing soit efficace, elle doit tromper les utilisateurs. Méfiez-vous de tout email ou de toute communication provenant d’une marque ou d’une organisation connue vous demandant de cliquer sur un lien ou d’ouvrir un document joint, même si cela paraît officiel. Un email légitime ne devrait jamais vous demander d’effectuer ces actions. Voici cinq règles d’or pour vous aider à protéger vos données :
- Méfiez-vous des noms de domaine sosies, des fautes d’orthographe dans les emails et les sites web, et des expéditeurs d’emails inconnus.
- Prenez garde aux fichiers reçus par email d’expéditeurs inconnus, surtout s’ils vous incitent à faire une certaine action que vous ne feriez pas habituellement.
- Vérifiez que vous faites vos achats auprès d’une source authentique. NE cliquez PAS directement sur des liens de promotion dans des emails. Recherchez plutôt le détaillant souhaité sur Google, puis cliquez sur le lien figurant sur la page des résultats de Google.
- Attention aux offres « spéciales ». « Un remède exclusif contre le coronavirus pour 150 euros » n’est généralement pas une opportunité d’achat fiable ou digne de confiance. À l’heure actuelle, il n’existe pas de remède contre le coronavirus et même s’il en existait un, il ne vous serait certainement pas proposé par email.
- Veillez à ne pas réutiliser les mêmes mots de passe entre différentes applications et différents comptes.
Les entreprises devraient combattre les attaques zero-day avec une cyberarchitecture complète de bout en bout, capable de bloquer les sites de phishing et fournir des alertes en temps réel sur la réutilisation des mots de passe.
Check Point Infinity est efficace car elle combine deux ingrédients essentiels :
une convergence totale sur toutes les surfaces d’attaque et tous les vecteurs d’attaque,
une prévention avancée capable de lutter contre les attaques de phishing et de prise de contrôle de compte les plus sophistiquées.