Des milliers de mots de passe volés se retrouvent sur Internet

Check Point Research (CPR) découvre une campagne de phishing à grande échelle dans laquelle des pirates ont laissé involontairement plus d’un millier d’identifiants de connexion volés accessibles au public via une simple recherche sur Google. 

  • Les e-mails de phishing se faisant passer pour des notifications de Xerox commencent à partir d’août 2020
  • Les pirates ont stocké les identifiants volés dans des pages web désignées sur des serveurs compromis qui ont été indexés par Google
  • La campagne de phishing a principalement ciblé des entreprises du secteur de l’énergie et de la construction

Les chercheurs de CPR et d’Otorio ont découvert une campagne de phishing à grande échelle dans laquelle des pirates ont involontairement laissé des identifiants volés accessibles au public. La campagne de phishing a commencé en août de l’année dernière avec des e-mails se faisant passer pour des notifications de Xerox. Les e-mails incitaient les utilisateurs à ouvrir une pièce jointe HTML malveillante contournant la fonctionnalité de protection avancée de Microsoft Office 365. Plus d’un millier d’identifiants de salariés de différentes entreprises ont été volés. Les pirates sont stockés les identifiants volés dans des pages web désignées sur des serveurs compromis. Google, qui indexe constamment Internet, a également indexé ces pages web. Les identifiants volés ont donc été rendus ainsi accessibles à toute personne interrogeant Google pour rechercher une adresse électronique volée. En d’autres termes, avec une simple recherche sur Google, n’importe qui aurait pu trouver le mot de passe de l’une des adresses e-mail compromises et volées : un cadeau à tout agresseur opportuniste.

Méthodologie de l’attaque

  1. Les pirates ont commencé par envoyer un e-mail de phishing malveillant à des victimes potentielles, avec un fichier HTML en pièce jointe.
  2. En cliquant sur le fichier HTML, les victimes sont invitées à s’identifier sur une page de connexion similaire à celle d’entreprises connues, en l’occurrence Xerox.
  3. Les mots de passe et les adresses e-mail des victimes de l’attaque de phishing sont envoyés sur des serveurs compromis et stockés dans un fichier texte.
  4. Durant leur séjour sur les serveurs compromis en attendant que les pirates les récupèrent, Google qui analyse constamment Internet, indexe les fichiers texte et les rend disponibles via son moteur de recherche.

Citation : Lotem Finkelsteen, Responsable de l’intelligence sur les menaces chez Check Point Software : 

« Nous avons tendance à croire que lorsque quelqu’un vole nos mots de passe, le pire scénario est que les informations soient utilisées par des pirates qui en font le commerce sur le Dark Web. Pas dans ce cas. Ici, le public a eu accès aux informations volées. La stratégie des pirates consistait à stocker les informations volées sur une page web spécifique qu’ils avaient créée. Ainsi, après que les campagnes de phishing aient duré un certain temps, les pirates peuvent rechercher leurs pages web respectives sur les serveurs compromis, et y collecter les identifiants volés. Les pirates n’ont pas pensé que s’ils étaient en mesure de rechercher ces pages, Google le pouvait également. C’est une défaillance évidente de la méthode employée par les pirates. »

Comment rester protégé 

  1. Vérifiez le domaine. Méfiez-vous des noms de domaine sosies, des fautes d’orthographe dans les emails et les sites web, et des expéditeurs d’e-mails inconnus.
  2. Méfiez-vous des expéditeurs inconnus. Prenez garde aux fichiers reçus par e-mail provenant d’expéditeurs inconnus, surtout s’ils vous incitent à faire une certaine action que vous ne feriez pas habituellement.
  3. N’utilisez que des sources authentiques. Vérifiez que vous faites vos achats auprès d’une source authentique. NE cliquez PAS directement sur des liens de promotion dans des emails. Recherchez plutôt le détaillant souhaité sur Google, puis cliquez sur le lien figurant sur la page des résultats de Google.
  4. Réfléchissez à deux fois avant de répondre à une « offre spéciale ». Méfiez-vous des « offres spéciales » qui ne semblent pas être des opportunités d’achat fiables ou dignes de confiance.
  5. Ne réutilisez pas les mots de passe. Veillez à ne pas réutiliser les mêmes mots de passe entre différentes applications et différents comptes.
Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?