Une campagne de phishing mobile prend pour cible une bonne dizaine d’organisations non gouvernementales, dont diverses organisations humanitaires des Nations Unies, telles que l’UNICEF. L’infrastructure connectée à cette attaque est opérationnelle depuis mars 2019. Bastien Bobe, Security Sales Engineer de Lookout, donne des détails à Solutions Numériques.
Les pirates tentent d’obtenir des mots de passe d’employés de ces groupes via du phishing, qui les amène à se connecter à leur boîte mail ou à leur compte Office 365. Les victimes potentielles reçoivent des messages contenant des invitations à répondre à des enquêtes ou à consulter des documents en ligne, qui semblent légitimes mais sont en réalité truffées de liens vers des sites frauduleux. L’attaque est toujours en cours, selon l’éditeur Lookout qui a découvert cette campagne d’hameçonnage.
Des informations captées instantanément
Les pages sur lesquelles les victimes sont renvoyées sont conçues pour ressembler aux vrais sites internet des organisations. Toutes les informations entrées dans les champs à remplir sont capturées par les pirates informatiques. L’information est interceptée au moment même où elle est tapée, “ce qui est assez peu courant dans ce type d’attaque” indique à Solutions Numériques Bastien Bobe, Security Sales Engineer de Lookout. “L’attaque avait donc pour but de collecter toutes les informations possibles », ajoute l’expert.
Un phishing qui s’adapte aux mobiles
La technique employée dans cette campagne permet aussi de détecter les appareils mobiles. “Plus précisément, la logique du code Javascript sur les pages de phishing détecte si la page est en cours de chargement sur un appareil mobile et fournit un contenu spécifique au mobile dans ce cas », indique Bastien Bobe. “Ce qui est également assez rare”. Les navigateurs Web mobiles contribuent également, non intentionnellement, à masquer les URL de phishing en les tronquant, ce qui rend plus difficile pour les victimes de découvrir la supercherie. L’expert fait remarquer au passage que le phishing sur mobile augmente “de près 200 % d’année en année », “une des principales sources d’attaque aujourd’hui” sur ce type d’appareils.
Malgré “quelques éléments” qui font penser à une attaque de la Corée du Nord, Loockout n’est pas capable d’identifier qui en est à l’origine, d’autant que l’on sait que des pays peuvent se faire passer pour d’autres. “Nous n’avons aucune certitude », indique Bastien Bobe. En tout cas, au regard des cibles visées, spécifiques, il est peu probable que l’argent soit la motivation des hackers. Est-ce un Etat, une tentative de déstabilisation géopolitique ? “Difficile de le savoir ». Parmi les victimes : les Nations Unies, UN World Food Programme, United Nations Development Programme, UNICEF, La Croix Rouge, Heritage Foundation, United States Institute of Peace ou encore, en France, Humanity and Inclusion…