Pilules frelatées : Détournement d'images a visée éducative

Partager

Ce matin, en survolant les messages reçus sur ma BAL pro, je tombe sur un spam ayant réussi à passer les multiples barrières des systèmes de protection utilisés en interne.

Objet du message : 80% de réduction
Le coupable n'a pas été long à détecter: L'objet du message est très classique "Great news, jeanfrancois.audenard, 80% off today. the". Intrigué, je l'ouvre.

Attention danger !
Au lieu de trouver un docteur en blouse blanche aux cotés d'une ravissante infirmière et de belles pilules de tous les couleurs, j'ai eu droit à des avertissement et messages d'alertes criant à l'arnaque. Un petit screenshot pour le plaisir des yeux :

URLs typiques
Assez classiquement, les images sont stockées sur un site web avec un domaine en ".ru" et les urls représentatives de celles que l'on trouve dans ce type de message : http://[removed].pillleonard[removed]XX1m.ru/?enigyg=2f6656ea67a9
http://[removed].pillleonard[removed]XX1m.ru/?orifoiek=83425b66c1bb40

Détournement à la source
Le site hébergeant les images a été identifié par des professionnels de la sécurité et ces derniers ont préféré changer les images d'origine par ces messages d'avertissement.; au lieu de les effacer purement et simplement.

Sensibilisation par l'exemple
Pas mal comme méthode pour sensibiliser les Internautes et leur rappeler que les spam véhiculent très souvent des attaques ou arnaques de tout poil...

Quelque part, je trouve ça intéressant : Au lieu de cacher les messages (ie en les dirigeant directement à la poubelle) et donc les personnes restent un peu dans l'ignorance, on leur montre de façon claire et explicite le problème. Afin qu'elle ne tombent pas dans le piège.

Bon, il faut rester sympa quand même : Ce type "d'exercise" doit être limité à tout petit nombre de messages ; sinon les utilisateurs vont se lasser et hurler à l'incompétence.

Un ajout lors de la prochaine session de sensibilisation ?

Lors de vos prochaines actions de sensibilisation à la sécurité, ajoutez-y un mail de phishing interne pourrait être très instructif : Faites envoyer un mail de phishing ciblé ("spear phishing") et comptez le nombre de personnes tombant dans le panneau !

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)