L’entreprise de cybersécurité Kaspersky a identifié une méthode d’attaque de phishing poussant des employés du secteur financier à renseigner leurs identifiants professionnels dans un formulaire malveillant envoyé sur Dropbox.
Les chercheurs en cybersécurité de Kaspersky ont détecté une méthode de phishing déployée sur Dropbox, ciblant des employés en charge du traitement de documents financiers. Les cybercriminels envoient un faux mail provenant d’une société d’audit légitime, à partir d’une adresse authentifiée, et envoient ensuite une notification Dropbox contenant des liens malveillants vers des archives contenant des fichiers de phishing afin de voler des informations d’identification.
Roman Dedenok, expert en sécurité chez Kaspersky, explique : « Aux yeux de ceux qui le lisent, l'email semble légitime et écrit par un être humain. Les logiciels de cybersécurité ne relèvent pas d'irrégularités non plus. Le prétexte selon lequel une société d'audit dispose d'informations relatives au destinataire est plausible, tout comme la clause de non-responsabilité concernant le partage d'informations confidentielles. »
Une fausse demande d’authentification
Le mail, lui, ne contient pas non plus de pièce jointe et passe ainsi les filtres anti-spam. Kaspersky met toutefois en évidence un élément qui doit mettre la puce à l’oreille : le service « Dropbox Application Secured Upload » n’existe pas.
Si, malgré tout, la victime clique sur le document envoyé via Dropbox, alors un document flouté apparaît derrière une boîte de dialogue imitant une demande d’authentification. Le bouton cliquable contient un lien malveillant qui redirige l’utilisateur vers un formulaire où il est invité à saisir son identifiant et son mot de passe professionnels et le tour est joué.