Une nouvelle vague de mails piégés circule en se faisant passer pour des alertes de sécurité 1Password. Derrière des messages au ton alarmiste, les pirates cherchent à récupérer les clés de coffres-forts bien remplis.
On ne vous apprendra rien en rappelant que les gestionnaires de mots de passe figurent parmi les cibles favorites des cybercriminels, ce qui ne doit pas vous empêcher de rester vigilant, surtout en ce moment. Un employé de Malwarebytes a signalé avoir reçu un message soigneusement maquillé pour se faire passer pour une alerte Watchtower, preuve que même les boîtes mail les plus sécurisées ne sont pas à l'abri. Ce n’est pas la première fois que 1Password est ciblé par des attaques de phishing, mais la campagne en cours est plutôt élaborée et vise à dérober des mots de passe maîtres.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une alerte Watchtower qui n’en était pas une
Comme souvent dans ce type de campagne, la tentative de phishing reprend les codes esthétiques du service dont elle cherche à usurper l’identité. Ici, les pirates ont cherché à imiter Watchtower, l’outil intégré à 1Password qui surveille les bases de données de fuites connues et prévient les utilisateurs et utilisatrices si l’un de leurs mots de passe y figure.
Le message reçu se présente comme une alerte urgente signalant que le mot de passe maître associé au coffre-fort pourrait avoir été compromis, et encourage les destinataires à le modifier sans délai, à activer l’authentification à deux facteurs et à contrôler l’activité du compte. Tout semble sérieux et cohérent, mais le bouton « Secure my account now » redirige en réalité vers un domaine frauduleux habilement dissimulé derrière Mandrillapp, un service d’envoi de mails transactionnels utilisé par de nombreuses entreprises pour gérer leurs notifications, mesurer l’ouverture des messages et savoir quels liens sont consultés.
Pour renforcer la crédibilité de l’arnaque, les escrocs ont quand même pris soin d’intégrer un lien « Contactez-nous » aboutissant sur la page officielle du support 1Password.
Certains détails permettent cependant de démasquer la supercherie. L’adresse d’expédition watchtower@eightninety[.]com n’a rien d’officiel, le gestionnaire de mots de passe officiel utilisant des domaines en @1password.com. Par là même, les notifications Watchtower légitimes apparaissent d’abord dans l’application et, lorsqu’elles arrivent par mail, sont bien plus ciblées que le message générique décrit par Malwarebytes.
Que faire pour éviter de tomber dans le panneau
La campagne semble avoir débuté le 2 octobre et le domaine frauduleux a été signalé comme site de phishing dès le lendemain par plusieurs éditeurs de sécurité, ce qui a conduit Mandrillapp à bloquer les redirections. D’après les équipes de Malwarebytes, une tentative très similaire avait déjà été repérée fin septembre par Hoax-Slayer, ce qui laisse penser à un galop d’essai avant d’éventuelles nouvelles vagues.
Par conséquent, restez sur vos gardes, surtout si votre adresse a déjà circulé dans des fuites de données. Si un mail vous alerte d’un problème sur votre compte, vérifiez systématiquement l’identité de l’expéditeur, et évitez de cliquer directement sur les liens qu’il contient. Préférez ouvrir l’application 1Password ou taper vous-même l’URL officielle du service dans votre navigateur.
De manière plus générale, un bon antivirus doté d’une protection web peut bloquer l’accès à des sites piégés avant que vous ne saisissiez vos informations. N’oubliez pas non plus d’activer l’authentification à deux facteurs pour renforcer la sécurité de vos comptes, car même si un mot de passe maître venait à être dérobé, il ne suffirait pas pour ouvrir le coffre-fort.
Source : Malwarebytes
