Lors d’une fuite de données personnelles (noms, prénoms, adresses email), le risque est de voir débarquer des campagnes de phishing. But de l’opération : récupérer d’autres données et/ou informations bancaires. Nous avons un cas pratique avec Shadow. On en profite pour vous donner les clés afin de voir rapidement que c’était une arnaque. Pensez-y la prochaine fois.
En octobre, Shadow informait ses clients d’un piratage et d’une fuite de leurs données personnelles. Le pirate avait utilisé une attaque de type ingénierie sociale sur un des employés de l’entreprise. Il avait ainsi pu récupérer et exploiter un cookie pour se connecter à une interface de gestion. C’est de là qu’il a siphonné des données personnelles des utilisateurs.
Shadow avait communiqué ouvertement sur l’exploitation de cette faille, expliquant donc les tenants et les aboutissants. Un bon point, qui a permis de rappeler l’importance d’être prudent face aux messages de personnes que l’on ne connait pas. Comme nous l’expliquions alors, le principal risque était une attaque par phishing, avec des pirates se faisant passer pour Shadow.
Fuite en septembre, phishing en juin
Cela aura pris du temps, mais c’est finalement arrivé. Vendredi, vous avez été plusieurs à recevoir un email annonçant « Shadow se lance dans la Blockchain », et à le signaler sur les réseaux sociaux. Le mail est relativement « propre » et crédible au premier abord, reprenant dans l’ensemble la présentation des communications officielles de la société. Mais un coup d’œil rapide permet de repérer la supercherie.
Sans être parfait, loin de là, l’email peut être suffisant pour tromper certains. D’ailleurs, plusieurs clients se sont posés des questions sur cette « communication ». Shadow est rapidement sorti du bois pour expliquer que ce n’est pas une communication officielle. « Ne cliquez pas sur les liens et ne fournissez aucune information personnelle », ajoute l’entreprise.
C’est d’ailleurs un bon réflexe que d’aller voir si l’entreprise communique sur les réseaux sociaux ou sur son site (section actualité, blog, presse…). On en profite pour une rapide analyse des principaux « red flags » qui permettent d’identifier le faux. Comme c’est maintenant souvent le cas, il n’y a pas de grosses fautes évidentes de français dans le texte.
Red Flag #1 : Shadow et crypto (même si ça rime)
Le message est alléchant : « récupérer votre token gratuit grâce à notre airdrop exclusif ». Coinbase rappelle qu’un airdrop crypto est une vraie « stratégie utilisée par les startups blockchain pour distribuer des tokens ou des pièces à des adresses de portefeuille spécifiques ».
Bon, déjà, Shadow fait du cloud gaming, pas de la crypto. Premier « red flag » facile à identifier avant de cliquer sur n’importe quel lien. Rien n’interdit à l'entreprise de se lancer dans le « web3 », mais rien ne le laissait non plus présager. Cela demande au minimum des vérifications.
Red Flag #2 l’URL
Ensuite, toujours sans cliquer évidemment, on regarde l’URL de destination du lien pour « récupérer » le prétendu airdrop : shadow-redirect.tech. La méthode dépend du navigateur et de la messagerie, mais passer au-dessus du lien sans cliquer permet généralement de voir l’URL.
Deuxième « red flag » donc, relativement facile à identifier. D’autant plus que l’adresse est en clair, et ne passe même pas par un raccourcisseur d’URL ou des redirections. Ce n’est pas toujours le cas et des redirections peuvent cacher la destination finale. Dans le doute, un passage par WhereGoes permet de voir l’adresse finale.
Les pirates l’ont joué fin, avec un nom de domaine assez proche de celui officiel de l’entreprise : shadow.tech. Ils ont simplement ajouté un « -redirect » dans l’URL, ce qui en fait un nouveau nom de domaine. On a tenté l’expérience pour vous : le site des pirates ne répond plus.
Red Flag #3 : l’expéditeur
Il y avait un troisième red flag simple à identifier : l’expéditeur avec « [email protected] ». Un nom de domaine qui n’a aucun rapport avec Shadow, qui utilise normalement [email protected] pour ses communications. Logique puisque c’est le nom de domaine correspondant à son site.
Signalons enfin, de nouveau sur X, un message de Hyg_0x : « j’ai tenté de vous alerter que la BDD qui vous a était volé en septembre 2023 a été mise en vente il y a quelques semaines ce qui aurait pu être anticipé mais visiblement ça n’a pas été pris au sérieux ». Le message en question date de mi-mai.
Des indicateurs, mais pas une science exacte
Attention, ces red flags ne sont ni suffisants ni nécessaires. De vrais emails peuvent renvoyer vers un autre nom de domaine ou provenir d’une agence de presse, et donc ne pas correspondre au service. À contrario, il est possible de modifier les en-têtes et l’expéditeur pour faire croire à une vraie communication alors que ce n’est pas le cas.
Même chose pour les liens et les pièces jointes. Un lien peut laisser penser qu’il renvoie vers next.ink, sans pour autant envoyer vers le meilleur site du monde. Il y a également le cas des caractères proches, comme un I (i majuscule), un l (L minuscule) et un | (barre verticale).
Même chose pour les pièces jointes : un « fichier jpg » peut cacher bien plus qu’une image (ou toute autre chose), idem pour un document de travail… et on ne parle même pas des archives et des fichiers exécutables.
Que ce soit sur les réseaux sociaux, les messageries et n’importe quel canal de communication, soyez prudents et réfléchissez avant d’agir, cela permet généralement d’éviter les problèmes ou a minima de limiter fortement les dégâts.
Commentaires (16)
#1
La cible de cet e-mail sont ceux qui ne s'intéressent pas -encore- aux cryptos. Le lien en bas parle de "airdrop", terme trop technique pour la cible.
#2
#2.1
#2.2
Expéditeur [email protected] avec un lien vers https://ldlc-web3.com/
#2.3
Historique des modifications :
Posté le 12/06/2024 à 07h41
Consequence, nouvel alias d'email créé et renseigné sur le site LDLC puisque le précédent est dans la nature et désactivation de ce dernier pour ne plus recevoir d'emails louches.
#2.4
J'ai aussi mes alias pour sfr et ovh qui recoivent du spam, vais devoir les modifier pour le filtrage
#3
Comme ça ne m'intéressait pas du tout, je n'ai pas vraiment lu le contenu du mail et je n'ai pas cliqué sur le bouton.
En lisant l'article, je me dis que c'est bien la première fois où j'aurais peut être pu cliqué sur le bouton sans vérifier le lien si j'avais été intéressé (sans pour autant rentrer mes informations perso ensuite).
Merci pour l'article, c'est une bonne prévention !
Historique des modifications :
Posté le 11/06/2024 à 10h11
Quand j'ai reçu cet email (2 fois à la même adresse), je me suis dit : mais pourquoi ils s'embarquent dans la blockchain ? Le mail était vraiment bien fait et sans faute et je n'ai pas pensez un instant à vérifier l'adresse d'envoi. Ce qui m'aurait mis la puce à l'oreille.
Comme ça ne m'intéressait pas du tout, je n'ai pas vraiment lu le contenu du mail et je n'ai pas cliqué sur le bouton.
En lisant l'article, je me dis que c'est bien la première fois où j'aurais peut être pu cliqué sur le bouton sans vérifier le lien si j'avais été intéressé (sans pour autant rentrer mes informations perso ensuite).
Merci pour l'article, c'est une bonne prévention !
#4
Une boite où je suis passé, cotée en bourse, nommons là AAAA, dont le site web est AAAA.fr (et ils possèdent aussi AAAA.com) décide de familiariser les employés avec la sécurité informatique et les risques de phishing.
Tous les employés reçoivent donc un email de la part de [email protected] dont l'alias est "Sécurité AAAA".
L'objet du message : "Important : à lire absolulemtn"
Le corps de message, contenait des fautes de français, prenait un ancien logo de AAAA (plus d'un an après qu'il ait changé) et contenait un message invitant les employés à cliquer sur le lien, télécharger un pdf et le consulter (avec les indications pour ignorer les alertes de fichiers externes).
Le lien, passait par un minifier inconnu au bataillon
Le lien final pointait vers formation-AAAA.machin.tw en http pas s.
Alors forcément, une grosse majorité a fièrement "signalé cet email" à la DSI avec le bouton dédié, devinant qu'il s'agissait d'une campagne de test comme il y en a de temps en temps.
Et la réponse fut sidérante : c'était une initiative du RSSI qui avait sous traité à un prestataire externe l'envoi de mails à toute la boite pour organiser une formation sécurité. Le PDF était à priori legit et la communication venait bien de lui.
Il a refait un mail qui est parti depuis l'adresse générique RSSI avec le PDF en PJ, le bon logo et un texte en français correct. Fin de l'histoire.
Oui, fin de l'histoire, le fait qu'un RSSI soit responsable de ce qui s'apparente à une campagne de phishing en fournissant la liste des emails de la boite à un sous traitant utilisant des services obscurs, ça, ça n'a eu aucune répercussion pour le RSSI.
A en croire linkedin, il est toujours en poste plusieurs années plus tard.
#4.1
Si un employé clic sur un lien contenu dans ces e-mails, des actions sont menées.
A partir de 3 clics (au total sur 12 mois glissant), une convocation avec la DRH. Au 5ème clic, renvoie de la personne.
#4.2
#5
On ne saura pas si Vincent a récupéré son token du coup.
#6
Petite pensée pour les clients de Daan Tech quand ils ont vu le speech sur M6 qui parlait de ça (alors que c'est une boite d'electro ménager...) dans " qui veut etre mon associe" y a quelques années (le mec a été viré depuis)
#7
Quand j'ai reçu l'email en question, je me suis douté que c'était du phishing (qui serait assez stupide pour lancer ce genre d'offre en 2024 ?) ; mais pendant le weekend j'ai quand même cherché à voir si Shadow avait fait une communication sur le sujet pour prévenir ses utilisateurs.
Absoluement rien sur leur site.
Dans l'article j'apprends qu'ils ont posté un message sur Twitter. N'ayant pas de compte, quand je vais sur leur profil je n'ai pas accès aux derniers messages mais à une liste de messages qui ont des dates très différentes, sans ordre particulier.
La communication sur le phishing n'est pas visible.
Par contre hier soir ils ont envoyé un vrai email marketing et aucun message sur le phishing.
Bref à titre personnel c'est surtout ce que je reproche à Shadow ici : leur très mauvaise communication.
#7.1
Et je me suis dit la même chose : pitoyable de communiquer via des RS / messageries privées.
Du coup avec le pishing la première fois, le fait que sur leur site il y a un tarif affiche littéralement « {$price}€/mois » et puis ça, je me suis dit que je devais me méfier un peu de Shadow. En fait j’aurai dû tilter dès le début : c’est dans leur nom.
#8
Le mail était très très propre.
L'expéditeur était une adresse email dans le nom, avec une adresse bidon derrière : [email protected]
Mail officiel : [email protected]
Red flags
1 - En France, les emails partent en français
2 - Le pied de mail était trop petit
3 - DocuSign n'utilise pas de tracker de lien via son prestataire de routage. Toutes les URL sont en docusign.net
4 - Tous les collègues en contact avec ce client ont reçu le mail, trop générique et sans contexte à ce moment là avec le client
5 - Il devrait y avoir le nom de la personne et non son email dans le nom affiché
Certains collègues ont eu un doute et m'ont demandé. C'est bien, ça avance.
#9
Assez dommage de n'avoir reçu aucun e-mail de Shadow a ce sujet...
@vince120, La Société Riot Security fait justement ce genre de pratique, il y a aussi d'autre boite qui font des tests d'intrusion réel (en se déguisant en livreur, copieur de carte, wifi middleman).
Les nouvelles réglementations européennes demandent (et demanderont) ce genre de sensibilisation dans les entreprises.