Commençons par un aperçu général du message que nous avons reçu
Grâce à des paramètres de filtrage adaptés, il a été immédiatement transféré dans le dossier « spam ». Cependant, tous les systèmes ne disposent pas de ces paramètres, ou ceux-ci ne sont pas toujours correctement configurés. Partons donc du principe que, comme 60 % des boîtes mail d’entreprise, la nôtre n’en dispose pas non plus.
Ce que nous pouvons observer :
1. Un appel à l’action. « Action requise »
2. Une manipulation de l’« importance ». « Messages importants retardés »
3. Une manipulation de l’expéditeur. L’expéditeur est également le destinataire
L’identité de l’expéditeur est usurpée à l’aide d’un message SMTP sur mesure. Le message est également passé par un serveur proxy et a utilisé des identifiants piratés provenant d’un établissement d’enseignement pakistanais, comme le montrent les en-têtes bruts de l’e-mail :
Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher0. Premier aperçu
Ouvrons le lien contenu dans le message. Avertissement : n’ouvrez pas de liens suspects sur vos appareils — ils pourraient contenir un virus.
Le lien se présentait sous la forme suivante : https://****.gitlab.io/#clients@pwn-all.net
Pourquoi voit-on « GitLab » dans le lien ?
Parce que le pirate a exploité la capacité de GitLab à héberger des sites web statiques. L’hébergement en lui-même n’a rien d’inhabituel, mais la confiance associée au domaine gitlab.io contribue à renforcer la crédibilité du domaine et à contourner les filtres de certains systèmes.
Étape 1. Jetons un coup d’œil
Voyons ce qui se passe lorsque l’on clique sur ce lien et pourquoi la page d’accueil de notre site web s’affiche (même si elle est un peu bancale).
On constate que l’attaquant utilise des services légitimes pour :
Google et ClearBit : récupérer la favicon
; Thum : récupérer une capture d’écran du site web d’une largeur de 1 200 pixels
Cela vise principalement à renforcer la confiance de l’utilisateur lambda envers un faux site web, en lui faisant voir un logo familier et le site web d’une entreprise connue en arrière-plan.
Étape 2. Envoi des données
Imaginons que nous soyons un utilisateur lambda qui n’a pas fait attention et a saisi ses informations. Que se passe-t-il ensuite ?
Ici, on peut déjà voir des références à des services tiers tels que :
1. ipinfo — pour collecter des informations sur l’adresse IP de l’utilisateur, notamment : pays, région, organisation, localisation approximative, fuseau horaire et code postal. Très probablement, cela sert à déterminer quels proxys ou VPN utiliser pour les connexions ultérieures ou à préparer un e-mail en vue d’une autre tactique d’ingénierie sociale.
2. Google DNS — pour obtenir l’enregistrement MX indiquant où se trouve le point d’entrée de la boîte mail. Vraisemblablement pour tenter une vérification via SMTP
3. C’est en réalité le serveur web de l’attaquant, et non un proxy, qui reçoit la requête.
Alors, que contient la charge utile destinée à son serveur ?
Il s’agit essentiellement de l’ensemble standard. Mais… la réponse du serveur n’était pas standard.
La réponse indiquait le chemin d’accès à l’emplacement où les données avaient été enregistrées. Cela peut sembler être une blague, mais ce n’en est pas une.
Étape 3. À l’intérieur
L’étonnante bêtise de l’attaquant et l’incroyable chance des chercheurs. Ici, on remarque immédiatement ce qui semble être des tests effectués par l’attaquant lui-même à partir d’une adresse IP chypriote. On peut également voir son fuseau horaire, qui n’est pas celui habituellement associé à une adresse IP chypriote — à savoir, l’heure standard de l’Afrique de l’Ouest. Cela pourrait théoriquement indiquer la localisation réelle du spammeur.
Et, eh bien, je suppose que nous avons eu de la chance. Après avoir vérifié ses journaux, nous avons réussi à identifier une adresse IP récurrente provenant de Lagos, au Nigeria.
Et nous avons de nouveau repéré une adresse IP provenant du Nigeria ; à ce stade, nous pouvons probablement affirmer avec certitude qu’il s’agissait d’un test effectué par le spammeur lui-même.
Malheureusement, plusieurs personnes sont tombées dans le piège, notamment un employé de banque, une bibliothèque, une agence immobilière et d’autres. Le spammeur était vraisemblablement en train d’effacer ses journaux. Les victimes et les hébergeurs ont déjà été informés.
Pour vous aider à ne pas tomber dans le piège de cette arnaque, nous proposons nos solutions d’entreprise sous forme de plugins pour vos clients de messagerie et de services de surveillance des fuites de données destinés aux utilisateurs professionnels. Il existe également une solution destinée aux particuliers, axée sur la confidentialité et la protection de la vie privée, qui permet de rechercher leurs données dans les fuites provenant de voleurs de données, de sites web compromis ou de publications sur le dark web, Telegram ou Discord, parmi plus de 600 sources. Cliquez sur le lien pour en savoir plus sur DarkWeb Monitor.
Étape 4. Recommandation
Pour empêcher que des e-mails de hameçonnage similaires n’atteignent les boîtes de réception des utilisateurs, mettez en place une validation stricte de l’authentification de l’expéditeur au niveau de la passerelle SMTP.
Mesures recommandées :
- Publiez et maintenez un enregistrement SPF strict se terminant par
-all. - Signer tous les e-mails sortants à l’aide de DKIM.
- Appliquez le protocole DMARC avec une politique de rejet