Les utilisateurs allemands de services bancaires en ligne sont en proie à une cyberattaque depuis maintenant deux semaines. L’attaque combine phishing et QR Code. Les e-mails de phishing très convaincants contiennent des logos bancaires, un contenu bien structuré et un style cohérent. L’objet du mail varie suivant les utilisateurs, demandant à certains de consentir aux changements de politique de données mis en œuvre par la banque ou lui demandant de revoir de nouvelles procédures de sécurité. Cofense, start-up américaine spécialisée dans la protection contre l'hameçonnage, annonce avoir relevé deux types d'attaques par hameçonnage récemment. Elles visent deux principales institutions financières : la Sparkasse et la Volksbanken Raiffeisenbanken. Ce changement de ton est peu commun, les acteurs malveillants étant davantage habitués à faire des déclarations exagérées, parfois difficiles à prendre au sérieux, sur la compromission de compte ou la possibilité de gagner quelque chose, incitant l’utilisateur à cliquer rapidement.

E-mail type reçu par des clients de l'institution financière allemande Sparkasse. (Crédit : Cofense)

E-mail type reçu par des clients de l'institution financière allemande Volksbanken Raiffeisenbanken. (Crédit : Cofense)

Autre détail frappant, « les acteurs enregistrent leurs propres noms de domaines personnalisés qui sont utilisés pour ces redirections ainsi que pour les sites de phishing eux-mêmes » indique Bleeping Computer. Cette étape vise à tromper les logiciels et solutions de sécurité afin qu’aucune menace ne soit détectée durant le processus de phishing. A noter que les domaines sont des sites récemment enregistrés sur le registre russe REG.RU et suivent une structure URL standard en fonction de la banque ciblée.

L'arnaque par QR Code vise les mobiles

Dans un autre genre, tout aussi malveillant, le piège du QR Code. D’autres campagnes ont révélé que les auteurs de menaces utilisent des QR Code au lieu de boutons pour diriger les victimes vers des sites de phishing. Il n’y a pas d’URL en texte clair, ce qui rend plus difficile la détection de menace par les logiciels de sécurité. La cible de ces attaques, mobile, est d’autant plus exposée au risque d’hameçonnage. Si cette dernière clique, elle est invitée à saisir son emplacement bancaire, son code, son nom d'utilisateur et son code PIN.

Pour inciter les utilisateurs mobiles à cliquer, les acteurs malveillants n'hésitent pas à se servir des QR Codes. (Crédit : Cofense)