Arnaque par courriel à la facture révisée

Les courriels inattendus, en particulier ceux concernant des factures, des paiements ou des questions commerciales urgentes, doivent toujours être traités avec prudence. Les cybercriminels dissimulent fréquemment des attaques d'hameçonnage sous l'apparence de communications d'entreprise légitimes afin d'inciter les destinataires à divulguer des informations sensibles. La campagne de courriels « Facture révisée » est un exemple de ce type de menace.

Ces courriels ne sont associés à aucune entreprise, organisation ou entité légitime. Ils font partie d'une opération de vol d'identifiants visant à dérober les identifiants de comptes de messagerie professionnels et à compromettre potentiellement des environnements d'entreprise entiers.

À l’intérieur du message frauduleux

Les courriels d'hameçonnage ont généralement pour objet :

'Politique de gestion financière_v4'

Le message prétend provenir d'une entité nommée « Gestion de portefeuille et financière » et informe les destinataires qu'une facture rectifiée relative à un projet non spécifié est disponible. Les destinataires sont invités à accuser réception du document, ce qui confère à la communication un caractère légitime et urgent.

Le courriel contient un élément intitulé « Approbation de la facture d'appel d'offres opérationnelle (PDF) », qui constitue l'appât principal. Cliquer dessus redirige les utilisateurs vers un site web malveillant au lieu d'ouvrir une véritable facture.

Le portail des faux documents

Le lien intégré mène à une page d'hameçonnage hébergée sur le domaine « dancing-fryo-1eba9c.netlify.app ». Le site Web est soigneusement conçu pour ressembler à une visionneuse de documents Adobe Acrobat et affiche un fichier contrefait nommé « Approve_Operational_Policy_v4.pdf ».

Une fenêtre contextuelle apparaît alors, indiquant que le document est verrouillé et qu'une vérification d'identité est requise avant d'y accéder. La victime est invitée à fournir :

• Une adresse e-mail professionnelle intitulée « Identité d'entreprise (e-mail) »
• Le mot de passe de messagerie correspondant

Aucun document n'est réellement déverrouillé. Cette page a pour seul but de collecter les identifiants de connexion et de les transmettre directement aux auteurs de l'attaque.

Pourquoi les identifiants d’entreprise volés sont-ils si dangereux ?

Les comptes de messagerie d'entreprise compromis peuvent offrir aux cybercriminels bien plus qu'un simple accès à une boîte de réception. Une fois en possession d'identifiants valides, les attaquants peuvent accéder aux systèmes d'information de l'entreprise, aux communications internes, aux plateformes de stockage cloud et aux ressources partagées.

Les comptes volés sont fréquemment utilisés à mauvais escient pour :

• Lancez des campagnes d'hameçonnage supplémentaires contre vos collègues et partenaires commerciaux.
• Accédez à des documents confidentiels et à des informations sensibles de l'entreprise.
• Mener des attaques par compromission de messagerie professionnelle
• Usurper l'identité d'employés et de cadres
• Étendez l'intrusion à l'ensemble du réseau de l'organisation.

Le vol d'un seul identifiant peut donc dégénérer en un incident de sécurité majeur, pouvant entraîner des pertes financières, des violations de données et une atteinte à la réputation.

Risques liés aux logiciels malveillants autres que le vol d’identifiants

Bien que l'objectif principal de l'escroquerie à la facture révisée soit la collecte d'identifiants de connexion, les campagnes de ce type sont également couramment utilisées pour diffuser des logiciels malveillants.

Les cybercriminels utilisent régulièrement les courriels indésirables pour diffuser des fichiers ou des liens malveillants. Les pièces jointes peuvent se présenter sous forme de documents PDF, de feuilles de calcul, d'archives compressées, de programmes exécutables ou de scripts. Dans certains cas, l'ouverture du fichier ou l'activation de fonctionnalités telles que les macros déclenche l'installation du logiciel malveillant.

De même, les liens contenus dans les courriels d'hameçonnage peuvent rediriger les utilisateurs vers des sites web qui téléchargent automatiquement des logiciels malveillants ou incitent les visiteurs à exécuter manuellement des fichiers dangereux. La plupart des infections nécessitent une intervention de l'utilisateur, ce qui fait de la vigilance un mécanisme de défense essentiel.

Comment répondre à l’e-mail de facture révisée

Les destinataires de ce message sont priés de ne pas cliquer sur les liens, pièces jointes ou invites qu'il contient. Étant donné que ni l'entité prétendue « Gestion de portefeuille et financière », ni aucune organisation légitime n'est liée à cette campagne, ce courriel doit être considéré comme une arnaque.

La solution la plus sûre est de supprimer immédiatement le message. Les personnes ayant déjà saisi leurs identifiants sur le faux site web doivent modifier leur mot de passe sans délai et en informer le service de sécurité informatique de leur organisation afin que des mesures de confinement appropriées puissent être mises en œuvre.

Réflexions finales

L'escroquerie par courriel à la fausse facture est une campagne d'hameçonnage sophistiquée qui exploite les processus métiers courants pour dérober les identifiants de messagerie professionnelle. En se faisant passer pour une notification de facture rectifiée et en redirigeant les victimes vers un portail de documents contrefaits, les attaquants tentent d'obtenir un accès non autorisé aux comptes professionnels et de compromettre potentiellement des organisations entières.

Il est essentiel de maintenir un sain scepticisme à l'égard des courriels inattendus, de vérifier l'authenticité des communications relatives aux factures et d'éviter les demandes de connexion non sollicitées afin de prévenir les attaques d'hameçonnage et de protéger les informations sensibles de l'entreprise.