Email scam : Multiplication des victimes aux USA

Les élections présidentielles américaines de 2020 approchent à grands pas. Cette échéance se traduit par la nécessité de faire preuve d’une cybervigilance accrue pour les citoyens comme pour les gouvernements. Bien que l’ingérence d’acteurs étrangers soit le motif le plus évident des attaques de phishing en cette période, les hackers ne manquent pas de raisons pour lancer leurs attaques. Une chose est sûre : ces attaques font déjà des victimes, et les hackers ont à leur disposition une large palette de scams.

Scams de levée de fonds

Les hackers adorent jouer avec nos émotions, et les emails de levées de fonds constituent donc le moyen idéal pour se remplir les poches. L’approche des élections et la scène politique en général ont polarisé une société en pleine effervescence : jamais nous ne nous étions autant passionnés pour le débat politique. Pour les personnes qui n’interviennent pas directement dans les débats et les campagnes, les dons permettent d’y participer de manière rapide, simple et peu coûteuse.

Les hackers ont bien flairé le filon : de faux comités d’action politique soutirent ainsi des millions aux citoyens américains, même si ces arnaques ont en grande majorité un but purement financier. La technique est bien rodée. Des sites Web et emails frauduleux semblant provenir de candidats aux élections et d’organisations jouent sur la corde sensible des citoyens pour les inciter à contribuer financièrement. Bien entendu, l’argent n’arrive jamais aux destinataires annoncés. Bien qu’il ne s’agisse pas de véritables attaques de phishing conçues pour dérober des identifiants, ces comités d’action politique malveillants ont su s’inspirer des spécialistes du phishing.

Comme les emails de phishing, tout commence par l’objet. Les objets riches en émotions sont particulièrement efficaces après un événement ou une tragédie ayant fait couler beaucoup d’encre. L’incendie de Notre-Dame qui a presque détruit la célèbre cathédrale parisienne a ainsi engendré une flambée internationale de faux sites Web de levée de fonds. Les pirates ont dirigé leurs victimes vers des sites malveillants par le biais d’URL publiées dans les commentaires d’articles et de publicités sponsorisées.

Les objets des emails de levée de fonds sont pensés pour susciter la colère et la peur chez les citoyens qui suivent de près les campagnes politiques et d’encore plus près ceux qu’ils considèrent comme leurs ennemis politiques : l’autre camp.

Ces objets sont d’autant plus efficaces qu’ils sont souvent liés à l’actualité. Un rapport publié en 2019 par Twilio a ainsi dévoilé que les emails relatifs à la campagne américaine ont connu un pic après le deuxième débat des Démocrates.

Le parti organisateur souhaite en effet capitaliser sur l’engouement et l’espoir des citoyens après le débat, qui sont prêts à aider autant que possible le ou la candidate qui les a inspirés. Le parti adverse, au contraire, utilise des morceaux choisis du débat pour mettre de l’huile sur le feu chez ses partisans.

Si les objets apocalyptiques favorisent l’ouverture des emails, ils augmentent aussi le risque de classification comme spam. Ce « problème » est principalement dû à l’utilisation de termes générant un sentiment d’urgence ou alors trop promotionnels, comme ceux qui avertissent les citoyens et votants que l’échéance pour donner leur réponse, signer une pétition ou faire un don, approche.

D’après Twilio, environ 21 % des emails de campagnes partent ainsi dans les spams. Toutefois, l’ouverture d’un email est signe que vous connaissez le destinataire et lui faites confiance : les emails vont donc continuer d’affluer. Il en va de même pour les emails de spear phishing.

Autre leçon notable tirée du rapport de Twilio : un grand nombre d’emails proviennent de comptes qui n’utilisent pas d’outils d’authentification, qui protégeraient pourtant candidats et organisations des usurpations d’adresses email. Au total, moins de 50 % des emails de campagne ont été validés par un système d’authentification.

Phishing lié aux élections

Les gouvernements locaux et d’État ont été la cible de plus de 122 cyberattaques en 2019. La plupart impliquaient des ransomwares, et de nombreuses villes ont dû s’acquitter de fortes sommes pour débloquer leurs systèmes. Il y a peu, la Nouvelle-Orléans a décrété l’état d’urgence (le deuxième en six mois) après une attaque de ransomware. Dans de nombreux cas, les hackers s’infiltrent dans les systèmes gouvernementaux via les MSP.

Au cours de l’élection américaine de 2016, le président de la campagne d’Hillary Clinton, John Podesta, a par exemple reçu un email de phishing semblant provenir de Google, le fournisseur de sa messagerie personnelle. Cet email expliquait à John Podesta que son compte Gmail avait été compromis et qu’il devait donc modifier son mot de passe. Peu sophistiqué, il s’est pourtant avéré suffisamment crédible pour que le centre d’assistance de John Podesta encourage un des membres de son équipe à changer le mot de passe. Au lieu de cliquer sur le lien Gmail authentique fourni par le centre d’assistance, cette personne a toutefois cliqué sur le lien de phishing, raccourci avec Bitly. Le résultat ? La fuite de données massive publiée par Wikileaks et dont on parle encore aujourd’hui.

La même année, cinq comtés de Floride ont été la cible d’emails de phishing envoyés depuis la Russie. Un des superviseurs des élections d’un comté a signalé que son bureau recevait 3 500 emails de phishing ou spam par jour. Certes, ce chiffre n’a rien d’inhabituel, mais il reste élevé pour un bureau responsable de l’enregistrement et la publication des votes.

En 2016, les officiels chargés des votes de Caroline du Nord ont été la cible d’un email de phishing se faisant passer pour un fournisseur de systèmes de vote électronique basé en Floride. Cet email était peu sophistiqué, au moins à première vue. Il contenait notamment une faute d’orthographe qui aurait dû clairement alerter quant à sa nature frauduleuse. Pourtant, d’après la firme qui a identifié l’attaque, sa simplicité lui a permis de se fondre dans la masse et d’être crédible.

Bien qu’il ne soit pas clairement établi que cet email, qui contenait un malware, a compromis un compte, The Intercept explique que la Caroline du Nord a rencontré « de nombreuses erreurs logicielles le jour des élections ».

Extorsion

Les emails de sextorsion ont repris du poil de la bête et sont désormais encore plus sophistiqués et efficaces grâce aux nombreuses fuites de données survenues en 2019. En effet, un hacker ayant accès au mot de passe d’un utilisateur sur un site donné peut facilement convaincre cette personne qu’il dispose d’autres informations compromettantes le concernant, que ce soit vrai ou non.

Ces emails sont particulièrement difficiles à intercepter, car ils s’appuient sur de nouvelles techniques de phishing, notamment l’utilisation de QR Codes en lieu et place de liens de phishing ou de captures d’écran plutôt que de texte. Les objets apocalyptiques facilitent l’ouverture des emails, mais c’est leur nature ciblée et basée sur les données ayant fuité lors de précédentes attaques qui expliquent leur succès.

La sextorsion ne constitue pas le seul moyen de générer la peur et la honte chez les victimes pour les pousser à payer une rançon ou à divulguer des informations stratégiques. Toutefois, le sujet est tellement sensible qu’il fera certainement les gros titres si la victime est un politique ou un membre du gouvernement, justifiant son efficacité. Les employés des gouvernements d’État, local et fédéral sont donc fortement exposés à ce type d’attaque, mais également aux autres formes d’extorsion et de chantage.

Lien avec les MSP

Les MSP doivent surveiller de près les scams ciblant leurs clients gouvernementaux. Dans certains cas, ils sont eux-mêmes ciblés dans l’espoir d’obtenir un accès aux systèmes de leurs clients. Dans d’autres, les hackers s’attaquent directement aux agences gouvernementales. 

Du phishing aux ransomwares, les attaques concernent les agences gouvernementales, mais aussi les simples citoyens qui comptent sur le gouvernement pour protéger leurs données et assurer la disponibilité de services stratégiques. Les journaux ont fait leurs choux gras des attaques ayant touché les MSP en 2019. Dans de nombreux cas, les responsables des failles n’étaient pourtant pas les MSP, mais leurs fournisseurs.

Quoi qu’il en soit, les MSP doivent protéger leurs clients et leur réputation. En investissant dans une solution de sécurité de l'email proactive qui bloque les attaques ciblées, vous réduirez considérablement les risques d’attaque pour vous et vos clients, mais profiterez également peut-être d’une belle opportunité.

En effet, les gouvernements d’État et locaux recourent massivement aux services d’assistance informatique assurés par des tiers. Une récente décision de justice rendue en Californie a permis à un fournisseur de solutions de sécurité disposant de 11 partenaires de distribution de proposer des services de sécurité à prix réduit aux campagnes politiques américaines.

Cette décision ne s’est pas encore répandue dans le pays, mais elle constitue une opportunité potentielle pour les MSP qui cherchent à s’implanter dans le secteur public. En sensibilisant les clients gouvernementaux potentiels aux nouvelles menaces et en leur proposant une solution conçue pour les bloquer, vous bénéficierez d’un véritable avantage sur vos concurrents.