Coronavirus : les hackers lancent des attaques par email pour tirer profit de la pandémie
Adrien Gendre
—02 avril 2020
—4 min de lecture

Black Friday. En vous baladant sur une boutique en ligne depuis votre téléphone, vous tombez sur une offre Amazon incroyable, valable pendant 2 heures uniquement.
Alors que la date limite de votre déclaration approche, vous recevez un email du fisc vous réclamant de valider immédiatement certaines informations, sous peine de voir votre remboursement retardé
Après un nouvel ouragan dévastateur, vous recevez un email de la Croix-Rouge appelant aux dons pour les personnes sans abri, nourriture ou vêtements .
Tous ces exemples sont des attaques par email qui exploitent des événements divers (jours fériés, rencontres sportives ou catastrophes naturelles) pour se montrer convaincantes. Ponctuels ou réguliers, les événements concernés partagent trois caractéristiques essentielles qui dopent les chances de réussite des attaques par email qui les utilisent :
- Sentiment d’urgence : les vacances ou l’événement sportif approchent, ou la catastrophe vient de se produire. Dans tous les cas, l’email génère un sentiment d’urgence qui vise à entraîner une réaction immédiate.
- Trafic email légitime important : divers acteurs (entreprises, agences gouvernementales, organisations à but non lucratif) envoient des messages importants en lien avec l’événement, et les utilisateurs les attendent avec impatience.
- Utilisateurs distraits : en raison de modifications de leur environnement ou de leur état émotionnel (inquiétude, peur, anxiété, stress, etc.), les utilisateurs sont distraits et davantage susceptibles de relâcher leur vigilance.
[optin-monster-shortcode id="wr0uiglxc5lnfdau6wk0"]
Le phishing et les arnaques liés au coronavirus sont les derniers exemples de cette tendance
Les attaques par email basées sur les événements sont aujourd’hui centrées sur la pandémie de coronavirus, et elles réunissent toutes les caractéristiques mentionnées précédemment. En effet, le monde entier est pris de panique, alors que le nombre de cas dépasse de nouveaux records jour après jour. Les écoles et de nombreuses entreprises sont fermées : la plupart des employés doivent s’adapter au télétravail tout en gérant leurs enfants. Ces fermetures, et les premiers signes d’une dégradation économique, génèrent une forte volatilité des marchés et poussent les gouvernements du monde entier à prendre des mesures sans précédent.
Face à tous ces événements, nous nous sentons à la fois fatigués, perplexes, anxieux, apeurés, et sommes avides d’informations fiables. Alors que de nombreuses agences gouvernementales, entreprises, écoles et autres organisations envoient des emails tout à fait légitimes concernant le coronavirus, les hackers exploitent la situation pour lancer diverses attaques par email, que ce soit sous forme de spam, de scam, de phishing, de spear phishing ou de malware.
Grâce à sa visibilité sur le trafic international d’emails, Vade a tout d’abord détecté des vagues de spams classiques exploitant le COVID-19 pour vendre des marchandises comme des masques. Si l’exemple ci-dessous n’est pas vraiment dangereux, il n’en reste pas moins indésirable. Le nom affiché a été modifié pour indiquer « Coronavirus Mask », alors que le contenu du message vante les mérites de « masques contre la pollution ».

Nous avons également observé un certain nombre d’arnaques par email qui partagent un point commun avec le spear phishing : l’absence de liens et de pièces jointes malveillantes. Dans l’exemple ci-dessous, une personne affirmant être ingénieur pour une compagne pétrolière offshore propose au destinataire de l’email un poste d’assistant. En raison du coronavirus, explique-t-elle, le poste est en télétravail.

Mais très vite, nous avons commencé à détecter des campagnes de phishing plus sophistiquées se faisant passer pour l’Organisation Mondiale de la Santé (OMS), le Center for Disease Control (CDC) et le Trésor anglais (GOV.UK). L’email de phishing envoyé par GOV.UK (à gauche) affirme que son destinataire a droit à un remboursement fiscal de 128 livres en raison de l’épidémie de coronavirus et l’invite à cliquer sur une page de phishing au prétexte de récupérer ses fonds. Sur la droite, une page de phishing de l’OMS demande à l’utilisateur de confirmer les détails de son compte pour pouvoir télécharger les mesures de sécurité à prendre contre le COVID-19.


Alors que les États-Unis et d’autres gouvernements partout dans le monde annoncent des plans de relance économique, nous anticipons des vagues d’attaques autour de la vérification de l’admissibilité à ces mesures et d’autres motivations économiques. Par ailleurs, alors que le chômage explose, nous prévoyons également une hausse des fausses offres d’emploi comme celle ci-dessus.
Présentation du suivi des événements pour Vade for Office 365
Bien entendu, les MSP et les administrateurs informatiques doivent s’intéresser à toutes les menaces. Toutefois, les attaques par email basées sur des événements posent une difficulté particulière : comment protéger les utilisateurs du déluge soudain de menaces tout en s’assurant de ne pas bloquer par erreur des messages légitimes ? En cette période de crise internationale, Vade a tenu à contribuer à sa façon à l’efficacité du combat contre la pandémie.
Nous proposons ainsi une nouvelle fonctionnalité de suivi des événements pour Vade for Office 365. Cette fonction permet aux MSP et aux administrateurs de bénéficier d’une meilleure visibilité sur l’ensemble du trafic d’emails, malveillants et légitimes, en lien avec la pandémie.
Dans la section consacrée aux journaux d’emails de la console d’administration de Vade for Office 365, sélectionnez le filtre COVID-19 sous Current Events (Événement en cours) pour afficher l’ensemble du trafic d’email, y compris les menaces liées au coronavirus détectées par Vade. Si le filtre passe à côté de l’une d’entre elles, vous pouvez la retirer d’une ou plusieurs boîtes de réception à l’aide de la fonction de neutralisation. Tout aussi important, vous pouvez garder un œil sur les messages légitimes en lien avec le COVID-19 et les replacer dans les boîtes de réception des utilisateurs en cas d’erreur de classification.

Le COVID-19 constitue la première utilisation pratique de la fonction de suivi des événements de Vade for Office 365. D’autres seront ajoutées au fil du temps, notamment pour les jours fériés et autres événements ponctuels qui déclenchent une hausse des menaces et du trafic global. L’objectif est ici d’améliorer la visibilité et de renforcer le lien de confiance entre les MSP et leurs clients dans ces périodes critiques.
Ressources pour aider les utilisateurs à détecter les menaces en lien avec le coronavirus et à télétravailler en toute sécurité
En plus de cette nouvelle fonctionnalité, nous avons réuni un certain nombre de ressources qui ont pour but d’aider les utilisateurs à détecter les menaces par email et à travailler de manière sûre depuis chez eux pendant la pandémie. Cette page réunit des infographies sur l’hygiène numérique et la détection des attaques de phishing/spear phishing, ainsi que des liens vers des outils gratuits comme notre Test de vigilance au phishing et l’outil de vérification des URL en temps réel IsItPhishing.AI.
Nous espérons que ces ressources contribueront à sensibiliser aux problématiques de sécurité et à encourager le respect des bonnes pratiques pendant cette période riche en menaces. Nous sommes tous touchés par la situation et nous pouvons y faire face, ensemble. Protégez-vous !