Des pirates non identifiés utilisent des services légitimes tels que PayPal ou Google Workspace pour envoyer des e-mails de phishing et contourner pratiquement toutes les solutions de sécurité de messagerie disponibles aujourd’hui.
Un rapport des chercheurs en cybersécurité Avanan a détaillé comment les pirates ont réussi à forcer ces services à envoyer des e-mails de phishing en leur nom, trompant ainsi les solutions de sécurité des e-mails.
Pour les criminels, le problème avec les e-mails de phishing est que les domaines à partir desquels ils sont envoyés, les lignes d’objet de l’e-mail, ainsi que le contenu, sont tous analysés par les produits de sécurité de la messagerie et n’arrivent souvent pas dans la boîte de réception de la victime. Cependant, lorsque cet e-mail provient de Google, le produit de sécurité n’a d’autre choix que de le laisser passer.
Fausses factures
Désormais, si un auteur de menaces crée un fichier Google Docs malveillant avec un lien vers un site de phishing, et marque simplement la victime, Google enverra la notification sans déclencher d’alarme. Ce document peut être n’importe quoi, d’une fausse facture à une fausse notification de renouvellement de service. Habituellement, le dénominateur commun de tous ces e-mails est que quelque chose doit être traité de toute urgence, sinon la victime perdra de l’argent.
La même chose est avec PayPal. Un attaquant peut générer une fausse facture avec un lien vers le site Web de phishing dans la description de la facture, et l’envoyer simplement via PayPal à la victime.
Outre ces deux sociétés, des acteurs de la menace se sont également fait passer pour (s’ouvre dans un nouvel onglet) SharePoint, FedEx, Intuit, iCloud et autres, affirment les chercheurs.
La plupart du temps, les pirates engagés dans le phishing recherchent des informations d’identification sur des systèmes sensibles qu’ils peuvent ensuite utiliser pour distribuer des logiciels malveillants plus dangereux (par exemple, pour exécuter une opération de ransomware). Dans d’autres cas, ils chercheraient des informations de paiement, soit pour les vendre sur le marché noir, soit pour les utiliser pour financer des activités illégales (comme le DDoS-as-a-service, par exemple).