Si vous recevez une invitation de calendrier pour afficher de nouveaux documents par télécopie, soyez prudent – il s’agit très probablement d’une attaque de phishing, tentant d’obtenir votre identité et vos identifiants de connexion pour vos comptes d’entreprise.
L’avertissement a été lancé par des chercheurs en cybersécurité d’INKY qui ont détaillé la campagne de phishing détectée pour la première fois vers la fin février 2022.
Tout commence par un compte de messagerie détourné, qui utilise une identité compromise pour envoyer un message contenant une invitation à « consulter les documents nouvellement reçus », via un lien.
Calendly piraté?
En surface, il s’agit d’un lien de calendrier Calendly. Selon INKY, Calendly a probablement été utilisé, car n’importe qui peut créer un compte gratuit, sans avoir à saisir les détails de sa carte de crédit.
C’est là que l’intrigue se corse. Les pages d’invitation de Calendly sont personnalisables. Cela a permis aux escrocs de créer une fausse notification de fax, avec tous les attributs de fax habituels (nombre de pages ou taille de fichier, par exemple), après quoi ils ont utilisé la fonction Ajouter un lien personnalisé pour insérer un lien malveillant sur la page d’événement.
En cliquant sur le lien « prévisualiser le document », la victime accède à la page de collecte des informations d’identification. Dans cet exemple particulier, la page est une imitation de Microsoft. Passer la souris sur le lien montre où il mène vraiment : https://dasigndesigns[.]com/ss/updation/index.html, un site piraté, répertorié dans les flux de menaces de Google, Firefox et Netcraft, rappelle INKY.
Si la victime saisissait ses identifiants de connexion ici, elle se retrouverait avec les attaquants, tandis que la victime verrait un message d’erreur indiquant qu’un mot de passe incorrect a été saisi. Après la deuxième tentative, la victime serait redirigée vers son propre domaine, ce que les chercheurs ont décrit comme une « touche intelligente » qui minimise les soupçons.
INKY, dans cet exemple, a été redirigé vers inky.com