Campagne de phishing sur le thème « Helpdesk Support » (AL02/240212/CSIRT-ITA)

La résurgence d’une campagne de phishing – sur le thème « Helpdesk Support » – visant à voler les informations d’identification des victimes potentielles via des formulaires conçus de manière appropriée qui reproduisent des logos et des références aux services Microsoft Outlook a été détectée.

Description et impacts potentiels

La résurgence d’une campagne de phishing – sur le thème « Helpdesk Support » – a été détectée, véhiculée via des emails trompeurs qui incitent la victime potentielle à visiter une ressource externe malveillante sous prétexte de mettre à jour sa boîte de réception.

Si le lien proposé est suivi, la victime est redirigée vers une landing page malveillante qui propose un formulaire d’authentification portant des logos et des références attribuables aux services fournis par Microsoft Outlook (Figure 1).

Si le formulaire est rempli et connecté via le bouton « Connexion », les données fournies seront envoyées à une ressource sous le contrôle de l’attaquant, tandis que la victime sera redirigée vers une page de courtoisie (Figure 2) dans laquelle informe l’attaquant. l’utilisateur que la demande a été reçue par un service technique présumé.

Mesures d’atténuation

Les utilisateurs et les organisations peuvent faire face à ce type d’attaque en vérifiant attentivement les e-mails reçus et en activant les mesures supplémentaires suivantes :

• proposer des formations périodiques visant à reconnaître le phishing tout en se méfiant des communications inattendues ;
• n’accédez pas aux liens Internet ou au contenu externe associé si vous n’êtes pas sûr de la fiabilité de la ressource ;
• vérifiez la légitimité des sites qui vous demandent de saisir vos informations de connexion.

Enfin, il est recommandé d’évaluer la vérification et la mise en œuvre – sur vos équipements de sécurité – des Indicateurs de Compromission (IoC) fournis en pièce jointe.

¹ Par définition, tous les indicateurs de compromission ne sont pas malveillants. Ce CSIRT n’a aucune responsabilité dans la mise en œuvre d’éventuelles actions proactives (par exemple, inclusion des IoC dans les listes de blocage) relatives aux indicateurs fournis. Les informations contenues dans ce document représentent la meilleure compréhension de la menace au moment de sa publication.