Arnaque par e-mail concernant un bon de commande et un devis au meilleur prix

Les cybercriminels peaufinent sans cesse leurs tactiques, exploitant la confiance et l'urgence pour tromper leurs victimes sans méfiance. L'un de ces stratagèmes trompeurs est l'arnaque par e-mail « Bon de commande et devis du meilleur prix ». Ce message frauduleux se fait passer pour une demande d'informations commerciales et incite les destinataires à révéler des informations sensibles via un site Web de phishing. Il est essentiel de comprendre les mécanismes qui se cachent derrière ces tactiques pour protéger les données personnelles et professionnelles.

Comment fonctionne la tactique

L'e-mail frauduleux arrive avec une ligne d'objet telle que « Avis important : retard dans la livraison du message entrant ». Il prétend provenir d'un directeur commercial de Brite Recruitment Ltd., demandant au destinataire de consulter un bon de commande ci-joint et de soumettre un devis pour obtenir le meilleur prix. Le message semble professionnel, ce qui augmente la probabilité que les destinataires, en particulier ceux du service des ventes ou des achats, tombent dans le piège.

L'un des éléments clés de cette arnaque est la pièce jointe intitulée « PDF Reversed Purchase Order-6890 », qui ne contient pas en réalité un bon de commande légitime. En effet, en cliquant sur le lien « Télécharger », la victime est redirigée vers une fausse page de connexion Google. La fausse page prétend que la session de l'utilisateur a expiré et l'invite à saisir son adresse e-mail et son mot de passe.

Que se passe-t-il après avoir saisi vos informations d’identification ?

Si les victimes saisissent leurs identifiants, les informations sont instantanément transmises aux fraudeurs, ce qui leur permet d'accéder sans autorisation au compte de messagerie. Grâce à cet accès, les cybercriminels peuvent :

• Récoltez des données sensibles à partir d'e-mails passés, y compris des informations financières et des informations personnelles.
• Envoyez des e-mails de phishing à partir du compte compromis, rendant la tactique plus légitime aux yeux de nouvelles cibles.
• Tenter de voler des informations d'identification : utiliser les mots de passe collectés pour accéder à d'autres comptes, tels que des services bancaires, de réseaux sociaux ou de stockage cloud.
• Vendez des comptes compromis sur les marchés du dark web, alimentant ainsi davantage la cybercriminalité.

Pourquoi ces e-mails sont si convaincants

Les e-mails frauduleux comme celui-ci sont conçus pour contourner les soupçons en imitant des communications commerciales légitimes. Les cybercriminels exploitent :

• Usurpation de marque – Utiliser le nom d’une entreprise honnête pour paraître crédible.
• Urgence et autorité – Créer un sentiment d’importance pour inciter à des actions hâtives.

• Faux liens – Redirection des utilisateurs vers des pages de connexion frauduleuses qui ressemblent presque à de vraies pages.

La plupart de ces tactiques utilisent également des techniques d'usurpation d'adresse e-mail, qui donnent l'impression que le message provient d'une entreprise réputée. Certaines versions peuvent inclure des logos, des mises en forme et même de fausses signatures d'apparence officielle pour renforcer l'authenticité.

Les dangers cachés au-delà du phishing

Bien que l'objectif principal de cette tactique soit le vol d'identifiants, les dangers s'étendent au-delà des comptes de messagerie compromis. Les attaquants peuvent exploiter l'accès à :

• Services de stockage cloud (Google Drive, OneDrive) pour récupérer des documents confidentiels.
• Réseaux d'entreprise si l'e-mail appartient à un employé, ce qui peut entraîner des violations de données.
• Contacts personnels ou professionnels pour propager des logiciels malveillants via d'autres e-mails trompeurs.

Les fraudeurs diffusent également des pièces jointes contenant des programmes malveillants dans le cadre de campagnes de phishing similaires. Cliquer sur un fichier PDF, ISO ou ZIP déguisé peut installer un logiciel malveillant conçu pour :

• Enregistrez les frappes au clavier (keyloggers) pour récolter les mots de passe.
• Crypter des fichiers dans le cadre d'une attaque de ransomware.
• Établir un accès à distance pour une surveillance non autorisée.

Comment identifier et éviter d’être victime

Pour se prémunir contre ces tactiques, il est essentiel d’adopter une approche proactive :

• Vérifiez l'expéditeur : si un e-mail prétend provenir d'une entreprise connue, vérifiez-le en visitant le site Web officiel au lieu de cliquer sur des liens.
• Inspectez les liens avant de cliquer : passez la souris sur les liens pour voir où ils mènent. S'il ne s'agit pas d'un domaine d'entreprise légitime, évitez-le.
• Soyez prudent avec les pièces jointes : les fichiers inattendus, en particulier ceux provenant de contacts inconnus, ne doivent jamais être ouverts sans vérification.
• Activer l'authentification à deux facteurs (2FA) : même si les informations d'identification sont prises, la 2FA peut empêcher l'accès non autorisé aux comptes.
• Signalez les e-mails suspects : transmettez les tentatives de phishing à votre fournisseur de messagerie ou à votre équipe de cybersécurité pour aider à prévenir de nouvelles attaques.

Réflexions finales

Les tactiques telles que l'e-mail de phishing « Bon de commande et devis du meilleur prix » sont conçues pour exploiter la confiance et l'urgence, ce qui oblige les utilisateurs à rester prudents. En reconnaissant les signes des e-mails trompeurs, en vérifiant les demandes de manière indépendante et en mettant en œuvre des pratiques de sécurité solides, les particuliers et les entreprises peuvent garder une longueur d'avance sur les cybercriminels. La vigilance est la meilleure défense dans un paysage numérique en constante évolution où les menaces continuent de s'adapter.