Skype: des e-mails d’hameçonnage visant les télétravailleurs

Les télétravailleurs doivent être prudent face à une nouvelle campagne d’hameçonnage ciblant leurs mots de passe sur Skype.

Les e-mails d’hameçonnage ressemblent étrangement à une notification d’alerte venant de Skype, selon un rapport publié par Cofense. Les e-mails indiquent que les utilisateurs ont 13 notifications Skype en attente qui peuvent être vérifiées en cliquant sur un bouton “Vérifier”.

“Il n’est pas rare de recevoir des e-mails concernant des notifications en attente pour divers services”, ont écrit les chercheurs. «Le pirate informatique s’attend à ce que les utilisateurs reconnaissent cela comme tel, alors ils prennent des mesures pour afficher les notifications. La curiosité et le sentiment d’urgence incitent de nombreux utilisateurs à cliquer sur le bouton sans reconnaître les signes évidents d’une attaque d’hameçonnage. “

Ces signes sont apparents lors d’une inspection plus approfondie. L’adresse de l’expéditeur, qui usurpe un numéro de téléphone et une adresse e-mail Skype convaincants dans l’adresse de l’expéditeur, semble légitime à première vue. Mais la véritable adresse e-mail, un compte externe compromis, peut être trouvée dans le chemin de retour.

En cliquant sur “Vérifier”, les utilisateurs sont redirigés via un lien app.link (hxxps://jhqvy[.]App[.]/VAMhgP3Mi5) et enfin vers la page de destination finale (hxxps://skype-online0345[.]Web[.]app).

Le domaine de premier niveau .app, utilisé pour cette page de destination de phishing, est supporté par Google pour aider les développeurs d’applications à partager leurs applications en toute sécurité. Cela ajoute un air de légitimité supplémentaire à l’attaque d’hameçonnage, ont déclaré les chercheurs.

skype

“L’avantage d’un domaine de premier niveau est qu’il nécessite que HTTPS s’y connecte, ce qui ajoute de la sécurité à la fois à l’utilisateur et au développeur, ce qui est formidable … mais pas dans ce cas”, ont déclaré les chercheurs. «L’inclusion de HTTPS signifie l’ajout d’un verrou dans la barre d’adresse, à laquelle la plupart des utilisateurs ont été formés pour faire confiance. Étant donné que ce site d’hameçonnage est hébergé via le domaine .app de Google, il affiche cette icône de confiance. “

La page Web usurpe l’identité d’une page de connexion Skype légitime, demandant les informations d’identification Skype des victimes. Les pirates informatiques ont fait leurs recherches – ils ont ajouté les logos d’entreprise des destinataires à la boîte de connexion, ainsi qu’un avertissement en bas disant que la page est réservée à «l’utilisation autorisée» des utilisateurs de cette entreprise.

Le nom d’utilisateur est également rempli automatiquement (en raison de l’URL contenant la base64 de l’adresse e-mail ciblé), une autre astuce qui laisse peu de place au doute du côté des victimes.

“La seule chose qui reste à faire à l’utilisateur est de saisir son mot de passe, qui tombe ensuite entre les mains des cybercriminels”, ont expliqué les chercheurs.

skype

Skype n’est pas la seule cible

Cette campagne est l’une des nombreuses qui cherchent à tirer parti de l’augmentation de télétravailleurs qui à cause de la pandémie de coronavirus doivent s’appuyer sur des outils de conférence en ligne comme Webex (ainsi que Zoom et d’autres plateformes). Avec cette hausse des réunions en ligne, les informations d’identification Skype compromises pourraient être vendues sur des forums clandestins ou utilisées pour se connecter à des comptes où des fichiers et des données sensibles sont partagés.

Plus tôt en Avril, une campagne d’hameçonnage a été révélé par un avis de sécurité de Cisco. La campagne demande aux victimes de faire une mise à jour, uniquement pour dérober leurs informations d’identification sur la plate-forme de conférence Webex de Cisco.

Les chercheurs avertissent les utilisateurs de rester à l’affût des individus malveillants qui usurpent les applications de conférence Web et de collaboration virtuelle. En général, les attaquants profitent de la panique autour du coronavirus avec des e-mails d’hameçonnage concernant des aides financières, des promesses de guérison et des informations sur les symptômes.

«Avec autant de personnes travaillant à domicile, les logiciels de travail à distance comme Skype, Slack, Zoom et WebEx commencent à devenir des thèmes populaires pour les tentatives d’hameçonnage», ont déclaré des chercheurs de Cofense.

Si cet article vous a plu, jetez un œil à notre article précédent.