Les cybercriminels abusent des services cloud légitimes pour s’assurer que leurs fichiers malveillants arrivent dans les boîtes de réception des gens, selon une nouvelle étude de Check Point.
Surnommant la pratique Business Email Compromise (BEC) 3.0, les chercheurs ont déclaré que les fournisseurs de services de messagerie étaient devenus beaucoup plus efficaces pour repérer et filtrer les e-mails malveillants.
Donc, pour contourner ce problème, les pirates ont commencé à utiliser des services cloud légitimes, en particulier ceux qui offrent des comptes d’essai gratuits. Ils créeraient un compte gratuit sur une plateforme telle que Dropbox, et utiliseraient ce service pour envoyer un e-mail à leur victime, contenant un lien malveillant. Étant donné que l’e-mail proviendrait d’une source fiable et d’un domaine connu, les services de sécurité des e-mails ne peuvent rien faire d’autre que laisser le message atteindre la boîte de réception.
Abus des services de partage de fichiers
Dans un exemple, Check Point a déclaré que les attaquants créeraient un fichier malveillant et l’hébergeraient sur Dropbox. Ils utiliseraient ensuite la fonction de partage intégrée de la plate-forme pour envoyer par e-mail le lien vers le fichier malveillant à leurs victimes. Comme il n’y a rien de malveillant dans l’e-mail lui-même, le message arriverait dans la boîte de réception de la victime.
Si la victime ouvre le fichier, elle sera invitée avec un formulaire de connexion demandant son adresse e-mail et son mot de passe. Dans cette première étape, les victimes donneraient déjà leurs informations d’identification Dropbox aux attaquants. À l’étape suivante, les attaquants redirigeraient la victime vers une URL malveillante, où il lui serait également demandé ses identifiants de connexion OneDrive.
« Ainsi, les pirates, utilisant un site légitime, ont créé deux failles potentielles : ils obtiendront vos informations d’identification, puis vous inciteront potentiellement à cliquer sur une URL malveillante », ont expliqué les chercheurs. « C’est parce que l’URL elle-même est légitime. C’est le contenu du site qui pose problème. Vous verrez les pirates se moquer d’une page qui ressemble à OneDrive. En cliquant sur le lien, les utilisateurs reçoivent un téléchargement malveillant. «
Comme d’habitude, la meilleure façon de se protéger contre les attaques par e-mail est de faire preuve de bon sens et de ne pas cliquer sur des liens et des pièces jointes inattendus et suspects.