Depuis vendredi dernier, notre système de filtrage antivirus et antispam, EndiGuard.Mel, a mis au jour une nouvelle forme de ciblage des attaques de cryptolockers : des e-mails réels, dont la pièce jointe a été modifiée.
Le principe des attaques ne varie pas : un e-mail vous propose d’ouvrir une pièce jointe contenant un virus qui, une fois activé, va chiffrer le contenu de votre ordinateur, le rendant inexploitable.
La particularité de cette nouvelle vague est la méthode inédite qu’utilisent les pirates pour cibler les victimes et inciter les utilisateurs à ouvrir ces pièces jointes…
Il y a deux ans, nous vous alertions sur les stratégies utilisées par les pirates pour tromper votre confiance. Ce qui était à l’époque une version évoluée du ciblage de ces attaques, est désormais relégué à un niveau débutant.
Un e-mail frauduleux plus que crédible, puisqu’il est vrai.
Les hackers utilisent désormais de vraies correspondances, interceptées dans des comptes e-mails d’utilisateurs victimes de piratage.
Le principe
Vous communiquez régulièrement avec Monsieur Dupond. Malheureusement, ce dernier s’est fait pirater son compte email.
Le pirate a donc accès à ses échanges e-mail, et parmi ses correspondances, il a identifié des e-mails contenant des pièces jointes.
Dans le compte de M Dupond, il a aussi identifié votre adresse email.
Le hacker va alors utiliser le contenu d’un e-mail existant, partant à juste titre du postulat que vous le trouverez pertinent. En effet, si vous communiquez avec M Dupond, vous avez probablement des activités communes, et vous serez interessé par les mêmes contenus que lui.
Il vous renvoie donc cet e-mail accompagné d’une pièce jointe infectée en lieu et place de la pièce jointe attendue.
Difficile d’être plus crédible…
Quelques exemples :
Notre solution antivirus EndiGuard.Mel a, entre autres, détecté, analysé et bloqué :
- des e-mails destinés à des utilisateurs leur proposant de lire le bulletin interne de leur société (qui existe, puisqu’ils ont déjà reçu ce type de communication) ;
- des emails très précis proposant à un destinataire de prendre connaissance de l’extrait d’un livre (la pièce jointe infectée) directement lié à son activité et à des noms connus dans le secteur d’activité du destinataire …
Le ciblage et le discours sont ici beaucoup plus pertinents et pourraient tromper de nombreux utilisateurs, même des personnes sensibilisées aux questions de sécurité qui font généralement preuve de prudence avant d’ouvrir une pièce jointe qu’ils n’attendent pas.
Si vous utilisez EndiGuard.Mel
Que nos clients se rassurent, notre solution antivirus et antispam EndiGuard.Mel bloque ces attaques avec un score assez élevé et un temps d’analyse très faible.
Ces e-mails sont bloqués et détruits directement par notre plateforme.
Si toutefois vous utilisez d’autres solutions de messagerie, faites preuve de méfiance et dans tous les cas, n’oubliez pas nos conseils de prudence
Vous recherchez un antivirus et antispam performant ?
>> Contactez notre service commercial pour en savoir plus sur EndiGuard.mel