Dans un billet de blog, l’Organisation européenne pour la recherche nucléaire revient sur une histoire qui n’a rien de nouveau, mais dont les tenants et aboutissants sont toujours bons à rappeler.
« Il semblerait que tout ait commencé avec un clic malencontreux. Un clic, c’est tout ce qu’il a fallu aux pirates pour accéder à leur victime innocente. Grâce à cet accès et à un plan préétabli, ils ont ratissé sa boîte de réception à la recherche de contenu « juteux », notamment des courriels dont ils pourraient tirer une valeur monétaire. Et bingo ! La victime étant chargée de la facturation aux instituts et universités partenaires, les pirates ont trouvé des factures qu’ils pouvaient utiliser à des fins criminelles ».
Pour éviter d’être repérés par le propriétaire légitime du compte, ils ont mis en place des « règles d’acheminement » dans la messagerie pour que les courriels malveillants n’apparaissent pas dans la boîte de réception. Ils étaient « dans un sous-dossier caché du dossier « Courrier indésirable » ».
« Les pirates ont en effet falsifié les factures et les ont modifiées de sorte que les fonds ne soient pas transférés sur le compte bancaire UBS du CERN (« CH93 »), mais sur leur compte en Espagne (« ES02 ») ». Le piège aurait pu fonctionner selon le CERN, mais les donneurs d’ordre ont été vigilants.
Dans les échanges de mails, les pirates ont tenté de les convaincre « tout était en règle, que les factures étaient authentiques, que l’IBAN était valide et qu’il ne restait qu’à les payer ». Mais de plus en plus de personnes étant dans la boucle des échanges et « la sonnette d’alarme a finalement été tirée ».
Heureusement tout s’est bien terminé, sans dégâts. « Cet épisode nous montre, une fois de plus, pourquoi il est extrêmement important de faire preuve de vigilance lorsque nous ouvrons des courriels, des pièces jointes ou des liens, en particulier lorsque cela concerne des services d’importance critique, des factures ou des paiements ».
Commentaires (5)
#1
“Un clic, c’est tout ce qu’il a fallu aux pirates pour accéder à leur victime innocente” est un peu exagéré : en fin d’article, ils précisent que c’était bien un hameçonnage et que le 2FA aurait bloqué l’attaque, donc l’utilisateur a rentré son mot de passe sur le mauvais site. L’utilisation d’un gestionnaire de mot de passe qui gère le contexte aurait aussi permis de faire échouer l’attaque.
Le problème est en conséquence pas lié au clic, mais a la mauvaise gestion des mots de passes.
#2
Est-ce que les pirates ont facturé un Kerr’s Black Hole avec un attractor field injector et c’est passé crème ???!
Donc John Titor avait raison !
#3
Euh le changement d’IBAN c’est totalement improbable que ça passe ! Surtout avec la mauvaise clé de pays ! Personne ne met à jour un IBAN de fournisseur sans une demande / confirmation avec celui-ci.
#4
Je découvre qu’on peut faire des sous dossiers dans les courriers indésirables… je vois mal le concept : trier ses indésirables ?
ça ne devrait pas être possible
#5
C’est une attaque assez courante, parfois envers des particuliers, selon QueChoisir.