Les experts de Kaspersky mettent en garde contre la menace croissante des e-mails de phishing avec des fichiers HTML [1]. De janvier à avril 2022, Kaspersky a bloqué près de deux millions d'e-mails de phishing contenant de telles pièces jointes. L'utilisation de fichiers HTML dans les messages de phishing est l'une des astuces les plus récentes et les plus populaires utilisées par les escrocs.
Habituellement, ces liens sont facilement détectés par les moteurs anti-spam ou les logiciels antivirus, cependant, l'utilisation de pièces jointes HTML a permis aux cybercriminels d'éviter d'être détectés.
Approches du phishing HTML
De nombreux utilisateurs ne savent pas que les fichiers contenus dans les e-mails de phishing peuvent être dangereux, ils ouvrent donc souvent des pièces jointes HTML malveillantes sans méfiance. Les cybercriminels conçoivent ces pièces jointes HTML pour qu'elles ressemblent aux pages officielles du site Web de l'entreprise. Ils ciblent les utilisateurs de ces sites officiels et copient leur style, leurs images, leurs scripts et d'autres composants multimédias pour inciter les victimes à saisir des données sensibles dans le formulaire de phishing.
Il existe deux principaux types de pièces jointes HTML utilisées par les cybercriminels : les fichiers HTML contenant un lien de phishing ou des pages Web malveillantes entières. Dans le premier cas, les attaquants envoient un fichier HTML contenant du texte supposé contenir des données importantes, comme une notification bancaire d'une tentative de transfert importante. L'utilisateur est invité à cliquer sur un lien vers le site Web de la banque pour arrêter la transaction, mais il est plutôt dirigé vers un site de phishing. Dans certains cas, la victime n'a même pas besoin de cliquer sur le lien. Lorsque l'utilisateur tente d'ouvrir la pièce jointe HTML, il est automatiquement redirigé vers un site Web malveillant. Cette page demande aux victimes de remplir un formulaire de saisie de données pour vérifier les fichiers liés à l'entreprise, protéger leur compte bancaire ou même recevoir un paiement du gouvernement. Ce n'est que plus tard que la victime découvre que ses données personnelles et ses coordonnées bancaires ont été volées.
Des pages de phishing entières sous forme de pièces jointes à des e-mails
Le deuxième type de pièces jointes HTML sont des pages de phishing entières. Ces fichiers permettent aux cybercriminels d'économiser sur les frais d'hébergement et d'éviter les sites Web, car le formulaire de phishing et le script de collecte de données sont entièrement joints en pièce jointe. En tant que site de phishing, le fichier HTML peut également être personnalisé en fonction de la cible et du vecteur d'attaque utilisé pour gagner la confiance de la victime. Par exemple, un escroc pourrait envoyer un e-mail de phishing aux employés de l'entreprise qui semble être une demande de révision d'un contrat, mais qui est en fait un fichier HTML malveillant. Ces pièces jointes montrent tous les attributs visuels de l'entreprise : logo, CI et même le nom du patron comme expéditeur. Le fichier invite la victime à saisir les identifiants de connexion de son compte d'entreprise pour accéder au document. Ces données tombent alors directement entre les mains des cybercriminels, qui peuvent utiliser ces informations pour s'introduire dans le réseau de l'entreprise.
Les cybercriminels utilisent de nouvelles tactiques pour réussir le phishing
Étant donné que les solutions de sécurité modernes peuvent déjà bloquer les e-mails contenant des pièces jointes HTML avec des scripts malveillants ou des liens de phishing en texte brut, les cybercriminels utilisent désormais d'autres tactiques pour éviter le blocage. Les escrocs déforment souvent le lien de phishing ou l'intégralité du fichier HTML avec un code obscur ou inutilisable. Bien que ce code indésirable et ce texte incohérent n'apparaissent pas sur l'écran de l'utilisateur, ils compliquent la détection et le blocage de l'e-mail par les moteurs anti-spam.
Demandes déguisées d'informations d'identification
"Les cybercriminels utilisent des demandes d'informations d'identification habilement déguisées pour inciter les victimes sans méfiance à entrer leurs noms d'utilisateur et mots de passe", a déclaré Roman Dedenok, chercheur en sécurité chez Kaspersky. "Nous bloquons des millions de sites de phishing chaque année et nous nous attendons à ce que ce nombre augmente. Les cybercriminels ont créé une infrastructure complexe et avancée qui permet même aux escrocs inexpérimentés de créer des milliers de pages de phishing à l'aide de modèles prêts à l'emploi [2], atteignant ainsi un large éventail d'utilisateurs. Maintenant que tout amateur est capable de créer son propre site de phishing, des précautions supplémentaires doivent être prises lors de l'ouverture de liens à partir d'un service de courrier électronique ou de messagerie.
Conseils de Kaspersky pour se protéger contre les attaques de phishing
- Avant de cliquer sur un lien, chacun d'eux doit être vérifié attentivement. Passer le pointeur de la souris sur le lien vous donnera un aperçu de l'URL et la possibilité de vérifier les fautes d'orthographe ou d'autres irrégularités.
- Le nom d'utilisateur et le mot de passe ne doivent être saisis que via une connexion sécurisée. De plus, faites attention au préfixe HTTPS devant l'URL du site Web. Cela indique si la connexion au site Web est sécurisée.
- Même si un message ou une lettre semble provenir d'un meilleur ami, son compte peut avoir été piraté. Par conséquent, les utilisateurs doivent faire preuve de prudence dans toutes les situations et vérifier tous les liens et pièces jointes, même s'ils semblent provenir d'une source fiable.
- Une attention particulière doit être accordée aux messages qui semblent provenir d'organismes officiels tels que les banques, les autorités fiscales, les boutiques en ligne, les agences de voyage, les compagnies aériennes. Même les messages internes de votre propre entreprise doivent être traités avec prudence. Il n'est pas difficile pour les criminels de fabriquer un faux e-mail qui semble légitime.
- Il faut éviter d'ouvrir des fichiers inattendus envoyés par des amis de jeu en ligne ou d'autres amis en ligne. Ils peuvent contenir des rançongiciels ou même des logiciels espions, ainsi que des pièces jointes d'e-mails d'apparence officielle.
- Les employés doivent recevoir une formation de base en cybersécurité, telle que Kaspersky Security Awareness [3]. Des exercices utilisant des attaques de phishing simulées permettent au personnel de savoir comment distinguer les e-mails de phishing des e-mails authentiques.
- Utilisez une solution de protection des terminaux et des serveurs de messagerie avec des fonctions anti-phishing, telles que Kaspersky Endpoint Security for Business [4], pour réduire le risque d'infection par des e-mails de phishing.
- Si le service cloud Microsoft 365 est utilisé, il doit également être protégé. Kaspersky Security for Microsoft Office 365 [5] dispose d'une fonctionnalité anti-spam et anti-hameçonnage dédiée, ainsi que d'une protection pour les applications SharePoint, Teams et OneDrive pour assurer la sécurité des communications professionnelles.
https://securelist.com/html-attachments-in-phishing-e-mails/106481/
https://securelist.com/phishing-kit-market-whats-inside-off-the-shelf-phishing-packages/106149/
https://www.kaspersky.de/enterprise-security/security-awareness
https://www.kaspersky.de/enterprise-security/endpoint
https://www.kaspersky.de/enterprise-security/microsoft-office-365