Les pirates lancent des attaques de phishing plus sophistiquées. Cette fois, il ne s’agit pas seulement de se faire passer pour votre informaticien qui vous envoie des liens suspects par e-mail. Cette nouvelle arnaque consiste à utiliser de faux comptes de messagerie « marionnette chaussette » pour vous faire croire que vous faites partie de la conservation entre collègues.
Chercheurs chez Proofpoint (s’ouvre dans un nouvel onglet) (via Bleeping Computer (s’ouvre dans un nouvel onglet)) appellent la technique « l’emprunt d’identité multi-persona », ou MPI. La technique consiste à boucler la cible dans un faux échange d’e-mails entre plusieurs escrocs pour tenter de les convaincre qu’il s’agit d’une conversation légitime. Une fois la confiance acquise, parfois après s’être engagés dans des « conversations bénignes avec des cibles pendant des semaines », selon Proofpoint, les pirates livrent un lien malveillant.
L’échange d’e-mails sera lié à l’industrie ou au domaine de recherche de la cible afin qu’être inclus dans la chaîne ne semble pas nécessairement hors de l’ordinaire.
Le groupe responsable est désigné TA453, qui, selon Proofpoint, travaille pour le Corps des gardiens de la révolution islamique d’Iran. Les tactiques du groupe ont évolué au fil du temps. Auparavant, les attaquants du TA453 se faisaient passer pour des journalistes ou des chercheurs individuels couvrant les politiques au Moyen-Orient, ciblant « les universitaires, les décideurs, les diplomates, les journalistes et les défenseurs des droits de l’homme », explique Proofpoint. Ils essayaient d’engager les cibles dans des conversations en tête-à-tête, mais ont commencé à utiliser cette stratégie de marionnette de groupe par e-mail plus tôt cette année.
Un exemple montre un e-mail envoyé à deux vrais experts des relations américano-russes par un « Carrol » et trois autres personnes avec des comptes de messagerie gérés par les pirates. D’autres incluent des propositions de collaboration de recherche du « directeur de la recherche » d’une université. Dans chaque cas, les récits de marionnettes à chaussettes se répondaient dans le but de légitimer la conversation.
Les e-mails initiaux et les fausses réponses n’ont généralement aucun lien, explique Proofpoint. C’est généralement vers le quatrième ou le cinquième message qu’un lien est partagé, puis un message de suivi demandant à la cible de lire le fichier quelques jours plus tard.
Parfois, il s’agit d’un lien d’appel Zoom, d’un fichier de « recherche » protégé par mot de passe ou d’un simple lien d’article. Le lien est chargé de logiciels malveillants qui grattent votre PC à la recherche d’informations personnelles et renvoient ces détails aux attaquants.
La tactique capitalise sur le FOMO de la victime, comme le dit Proofpoint. Les chercheurs pointent du doigt une étude qui a montré que les gens ont tendance à « copier les actions des autres », selon une description du principe de « preuve sociale » dans Psychology Today (s’ouvre dans un nouvel onglet).
Ces pirates informatiques semblent avoir un groupe spécifique de cibles en tête, donc à moins que vous ne soyez un expert en politique au Moyen-Orient ou entre les États-Unis et la Russie, vous êtes probablement en sécurité. Soyez prudent quand même : les escrocs utiliseront tous les plans qui fonctionnent, donc celui-ci pourrait se propager. Une autre nouvelle technique de phishing récemment repérée (s’ouvre dans un nouvel onglet)utilise une fausse fenêtre pop-up pour simuler de manière convaincante un formulaire de connexion Steam.