Les experts en cybersécurité lancent l'alerte autour d'une attaque de phishing d'un nouveau genre, qui personnalise chaque document joint à un e-mail. La méthode, ultra-ciblée, vise à dérober les identifiants professionnels des salariés.

Les e-mails servent toujours d'appâts aux yeux des cybercriminels © janews / Shutterstock
Les e-mails servent toujours d'appâts aux yeux des cybercriminels © janews / Shutterstock

Les cybercriminels excellent dans l'art de la tromperie, et cette nouvelle tactique de phishing le prouve une fois de plus. On parle ici d'e-mails d'hameçonnage si bien ficelés, qu'ils pourraient même berner les plus méfiants. Cette campagne malveillante, mise au jour par les experts de Kaspersky, pousse la personnalisation à l'extrême, en créant des documents liés aux politiques de ressources humaines, documents sur-mesure d'ailleurs pour chaque victime potentielle.

Quand les faux documents RH deviennent des pièges redoutables

L'ingéniosité de cette campagne de phishing tient dans sa crédibilité assez troublante. Les pirates informatiques ont minutieusement étudié les noms des employés ciblés pour créer des e-mails d'apparence légitime. Chaque message arbore un faux badge « expéditeur vérifié » et invite le destinataire à consulter des protocoles de télétravail actualisés.

Le stratagème ne s'arrête pas là. Le corps de l'e-mail se compose entièrement d'une image sans texte, une astuce technique qui permet de contourner habilement les filtres anti-spam traditionnels. Cette méthode fait perdre un tout petit peu d'authenticité, mais elle rend la détection automatique plus complexe pour les systèmes de sécurité classiques. Et donc, elle a plus de chances de faire mouche.

Le corps de l'e-mail frauduleux est constitué d'une image et non d'un texte © Kaspersky
Le corps de l'e-mail frauduleux est constitué d'une image et non d'un texte © Kaspersky

La pièce jointe, vous l'aurez compris, est le cœur de l'arnaque. Ici, elle est présentée comme un « manuel de l'employé » actualisé. Dans la forme, elle ne contient qu'une page de titre, une table des matières aux modifications surlignées en rouge, et surtout : un QR code malveillant. On note au passage que le nom de la victime apparaît plusieurs fois dans le document, histoire de renforcer l'illusion d'authenticité.

Le manuel de l'employé, avec le QR code malveillant, sur la droite © Kaspersky

Comment se prémunir contre ces nouvelles menaces cybercriminelles

Roman Dedenok, expert anti-spam chez Kaspersky, attire notre attention sur la sophistication inquiétante de cette campagne. Selon lui, cette tactique révèle l'émergence d'un mécanisme d'automatisation capable de générer des documents personnalisés pour chaque destinataire. Une évolution qui complique un peu plus encore la tâche des équipes de sécurité informatique.

La protection contre ces attaques nécessite ce qu'on appelle « une approche multicouche ». L'expert préconise d'abord l'implémentation de solutions de sécurité spécifiques au niveau des serveurs de messagerie d'entreprise. Car ces outils peuvent détecter et bloquer les tentatives de phishing avant qu'elles n'atteignent les boîtes de réception des employés.

La formation humaine reste néanmoins l'arme la plus efficace, oui ! Les organisations doivent donc sensibiliser tout au long de l'année leurs équipes aux nouvelles tactiques de phishing, et encourager la vérification systématique des demandes suspectes auprès des ressources humaines. Car face à des attaques si personnalisées, la vigilance collective devient plus que jamais indispensable.