Invitations de calendrier utilisées pour lancer des attaques de phishing
Au fil des jours, les cybercriminels trouvent de plus en plus de moyens innovants de fournir des e-mails de phishing aux utilisateurs finaux. Récemment, le Cofense Phishing Defense Center (PDC) a repéré des escrocs en utilisant des invitations de calendrier pour monter des attaques de phishing.
Qu'est-il arrivé ?
Récemment, les chercheurs de Cofense ont détecté une attaque de phishing dans les environnements de messagerie d'entreprise protégés par Proofpoint et Microsoft.
- La campagne d'hameçonnage livrée au calendrier .ics invite les pièces jointes contenant des liens d'hameçonnage dans le corps avec le sujet "Détection de panne à partir de Message Center", provenant d'un expéditeur avec le nom d'affichage Walker.
- Les attaquants ont utilisé un compte de messagerie compromis appartenant à un district scolaire pour contourner les filtres de messagerie en s'appuyant sur les technologies DKIM et SPF qui authentifient les domaines d'envoi.
- La fausse invitation proposait une entrée de calendrier affichant une URL, hébergée sur le site SharePoint de Microsoft. Il a également affiché un autre lien vers un site de phishing hébergé par Google qui semblait afficher une fausse page de connexion Wells Fargo.
- La campagne a incité les utilisateurs à soumettre leurs informations de connexion, leur code PIN et leurs numéros de compte, ainsi que leurs informations d'identification par e-mail, et les a redirigés vers le site Web légitime de Wells Fargo pour dissiper tout soupçon.
Menaces récentes tirant parti des applications de calendrier
Les fraudeurs ont profité des paramètres de calendrier par défaut inoffensifs pour tenter d'inciter les utilisateurs à cliquer sur des liens malveillants.
- En juin, un attaquant s'est fait passer pour un membre de l'équipe de sécurité de Wells Fargo et a envoyé des attaques de phishing contenues dans les invitations des applications de calendrier, ciblant un environnement protégé par FireEye.
- En octobre de l'année dernière, dans une arnaque Google Agenda, des fraudeurs ont été vus envoyer de fausses invitations de calendrier à l'adresse e-mail d'une victime et les ont trompées pour ouvrir une pièce jointe chargée de logiciels malveillants ou cliquer sur un lien malveillant.
Que pouvez-vous faire ?
Les utilisateurs ne doivent pas cliquer sur des liens ou des pièces jointes suspectes dans des e-mails non sollicités. Les utilisateurs doivent modifier leurs paramètres de calendrier pour empêcher les invitations à des réunions d'apparaître automatiquement.
Source : cofense.com