Arnaque par e-mail de mise à jour du statut DHL Express Commerce

Des chercheurs en cybersécurité ont analysé les courriels de mise à jour de statut de DHL Express Commerce et ont déterminé qu'il s'agissait de messages d'hameçonnage visant à voler les identifiants de connexion des utilisateurs. Ces courriels se font passer pour des notifications légitimes de DHL Express Commerce et informent faussement les destinataires que trois documents leur ont été transmis.

Ces messages, dont l'objet est généralement « DHL Express Commerce », sont soigneusement conçus pour ressembler à des notifications provenant d'une plateforme de partage de documents. Afin de renforcer leur crédibilité, les courriels affichent une ligne qui semble être une pièce jointe nommée « DHL Express Invoice Payment.docx ». Or, il ne s'agit pas d'une véritable pièce jointe, mais d'un élément cliquable destiné à inciter les destinataires à interagir avec le courriel.

D'après le contenu du message, le système a détecté trois documents partagés avec le destinataire et qui seraient accessibles immédiatement.

Le piège du portail de faux documents

L'escroquerie consiste à inciter les destinataires à cliquer soit sur la pièce jointe contrefaite, soit sur le bouton « Afficher les documents ». Quel que soit leur choix, les utilisateurs sont redirigés vers la même page frauduleuse.

La page en question est hébergée sur la plateforme Firebase Storage de Google. Bien que Firebase soit un service d'hébergement cloud légitime, les cybercriminels utilisent fréquemment des plateformes réputées à mauvais escient pour héberger du contenu malveillant, car ces domaines paraissent souvent dignes de confiance et peuvent contourner les filtres de sécurité de base.

Une fois arrivés sur la page, les visiteurs voient apparaître un faux formulaire de connexion DHL Express leur demandant une adresse e-mail et un mot de passe. Malgré les apparences, cette page n'a aucun lien avec DHL. Les informations saisies dans le formulaire sont transmises directement aux escrocs à l'origine de cette campagne.

Pourquoi les identifiants volés sont si précieux

Les identifiants de connexion figurent parmi les ressources les plus recherchées par les cybercriminels. Nombreux sont ceux qui réutilisent le même mot de passe pour plusieurs comptes en ligne, ce qui rend un seul ensemble d'identifiants compromis extrêmement précieux.

Lorsque des pirates informatiques obtiennent des identifiants de connexion par le biais de campagnes d'hameçonnage, ils les testent souvent sur différents services, notamment les plateformes de messagerie, les sites marchands, les comptes de stockage en ligne et les réseaux sociaux. Une compromission réussie d'un compte peut entraîner des achats non autorisés, des vols d'identité, des prises de contrôle de compte, des pertes financières et la perte d'accès à des services en ligne importants.

Pour cette raison, les destinataires ne doivent jamais saisir leurs identifiants sur des sites web accessibles via des courriels non sollicités sans avoir préalablement vérifié la légitimité du message et de sa destination.

Signes avant-coureurs d’une escroquerie

Plusieurs indicateurs révèlent la nature frauduleuse de ces courriels :

• Le message affirme que des documents ont été partagés de manière inattendue et encourage une interaction immédiate.
• Le fichier affiché « DHL Express Invoice Payment.docx » n'est qu'un leurre cliquable et non une pièce jointe réelle.
• Les deux éléments cliquables mènent à la même page de connexion au lieu d'un service légitime de partage de documents.
• Le site web demande les identifiants de messagerie alors qu'il n'a aucun lien légitime avec DHL.
• Cette communication tente de tirer parti de la réputation d'une marque de confiance pour gagner la confiance du destinataire.

Le lien potentiel avec les logiciels malveillants

Les campagnes d'hameçonnage ne se limitent pas toujours au vol d'identifiants. Dans certains cas, des courriels indésirables similaires servent également à diffuser des logiciels malveillants.

Les cybercriminels dissimulent fréquemment des fichiers malveillants sous forme de factures, d'avis d'expédition, de confirmations de paiement, de contrats ou d'autres documents commerciaux courants. Ces fichiers nuisibles peuvent être distribués sous forme de programmes exécutables, d'archives compressées, de documents PDF, de scripts ou de fichiers Microsoft Office contenant du code malveillant intégré.

Les infections nécessitent souvent une interaction de l'utilisateur avant l'activation du logiciel malveillant. Ouvrir une pièce jointe malveillante, activer des macros, exécuter un fichier téléchargé ou cliquer sur un lien trompeur peut déclencher le processus d'infection. Faire preuve de prudence lors de la manipulation de courriels non sollicités réduit considérablement le risque d'infection.

Que répondre si vous recevez l’e-mail

Si vous recevez ce courriel, la meilleure solution est de ne pas cliquer sur les liens, boutons ou pièces jointes qu'il contient. Supprimez-le immédiatement. Si vous avez déjà saisi vos identifiants via la fausse page de connexion, modifiez sans délai votre mot de passe et mettez à jour tous les autres comptes utilisant les mêmes identifiants. L'activation de l'authentification multifacteurs, lorsque cela est possible, offre une protection supplémentaire contre les accès non autorisés.

Évaluation finale

L'e-mail de mise à jour de statut DHL Express Commerce est une tentative d'hameçonnage visant à voler des identifiants de connexion en usurpant l'identité de DHL Express Commerce. La fausse pièce jointe et le bouton « Voir les documents » redirigent les utilisateurs vers une page de connexion frauduleuse hébergée sur un service cloud piraté. Cette campagne n'ayant aucun lien avec DHL ni aucune organisation légitime, les destinataires doivent considérer ces messages comme malveillants, éviter toute interaction avec leur contenu et les supprimer immédiatement de leur boîte de réception.