Les attaques par phishing se multiplient, les e-mails malveillants sont plus crédibles que jamais
Les experts en cybersécurité tirent la sonnette d'alarme : les pirates informatiques ont trouvé une nouvelle méthode pour exploiter les fichiers au format Rich Text Format (.RTF) dans leurs attaques par phishing.
Selon les chercheurs d'Ironscales, l'année 2024 a connu une “augmentation majeure” des campagnes de phishing utilisant les fichiers RTF. Pour illustrer l'ampleur du phénomène, ils révèlent avoir détecté et bloqué pas moins de 6 755 attaques de ce type rien qu'au mois de mars 2024.
Mais qu'est-ce qui rend cette méthode si efficace ? Les experts pointent du doigt trois facteurs clés : l'utilisation d'un format de fichier obsolète, la personnalisation des pièces jointes, et l'obscurcissement des URL. Cette technique, de plus en plus répandue, rend les e-mails malveillants particulièrement difficiles à détecter.
Lire également – Avec la multiplication des attaques par phishing, comment se protéger des arnaques ?
Les campagnes d'hameçonnage se perfectionnent
Tout d'abord, les fichiers RTF sont devenus relativement rares de nos jours. Cette rareté joue en faveur des cybercriminels de deux manières : les victimes potentielles sont moins méfiantes lorsqu'elles reçoivent ces fichiers par e-mail, et les solutions de sécurité traditionnelles, en particulier les filtres de messagerie, ont tendance à les laisser passer.
Ensuite, les pirates ont mis au point une technique de personnalisation des pièces jointes. Ils parviennent à adapter le nom du fichier RTF au domaine de l'entreprise ciblée. Ainsi, lorsqu'un employé reçoit un e-mail contenant une pièce jointe au nom de sa société, sa méfiance s'atténue considérablement.
Enfin, l'obscurcissement des URL constitue la troisième arme de cet arsenal. Dans le fichier RTF, les cybercriminels insèrent un lien qui semble inoffensif à première vue, souvent en imitant l'adresse d'un site web connu et fiable, comme microsoft.com. Cependant, grâce à une utilisation astucieuse du symbole @, ils redirigent la victime vers un site malveillant. Un exemple type de ces liens trompeurs ressemble à ceci : https://www.microsoft.com@site-malveillant.com/facture.pdf.
Les chercheurs d'Ironscales expliquent : « Dans le monde des URL, tout ce qui précède le @ est traité comme un ‘nom d'utilisateur', mais peut être formulé pour ressembler à un domaine de confiance. Le piège ? Le navigateur ignore tout ce qui précède le @ et ne s'intéresse qu'à ce qui suit ».
Face à cette menace croissante, Ironscales insiste sur la nécessité pour les organisations de renforcer leur vigilance et d'adapter leurs défenses. Les cybercriminels devenant de plus en plus ingénieux, les entreprises doivent impérativement suivre le rythme pour éviter de devenir des victimes faciles de ces attaques de phishing sophistiquées.