L’identité de Cybermalveillance.gouv.fr usurpée dans le cadre d’une attaque d’hameçonnage

Depuis le 1er juillet 2024, une campagne d’hameçonnage cible principalement les utilisateurs de messagerie électronique en usurpant l’identité de Cybermalveillance.gouv.fr.

L’organisation Cybermalveillance a pour missions d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s’en protéger.

Les fraudeurs envoient des e-mails sous le thème “Programme de soutien aux victimes de fraude”, exploitant des logos officiels et proposant un faux programme de remboursement pour les victimes d’arnaque.

Mailinblack révèle que parmi ses clients, 160 entreprises ont déjà été visées. Si 100 % de ces tentatives ont été interceptées par les solutions Mailinblack, cet incident souligne l’importance cruciale de sécuriser les messageries professionnelles contre de telles menaces pour protéger les données des organisations mais aussi celles des collaborateurs et des clients.

Analyse de l’attaque : quelles techniques sont utilisées par ces hackeurs ?

Utilisation d’une entité de confiance : les hackeurs ont usurpé l’identité de Cybermalveillance, structure référence et crédible d’information et d’accompagnement cyber qui vient en aide aux particuliers et aux organisations ;

Stratégie d’objet trompeur : ces attaquants ajoutent souvent “TR” ou “RE” à l’objet des e-mails, même si les messages ne sont ni des transferts ni des réponses. Cette méthode vise à induire les destinataires en erreur, exploitant un biais de confirmation pour donner l’illusion d’une continuité dans la communication ;

Usurpation d’identité combinée au spoofing : ces attaquants ont combiné cette usurpation des adresses email de Cybermalveillance à une technique courante dans ce type d’attaques : l’email spoofing. Il consiste à falsifier les en-têtes d’e-mails pour faire apparaître leurs messages comme étant envoyés par des entités fiables. Des exemples incluent des usurpations d’identités d’organisations réputées telles qu’un établissement public ou des mairies. Ces techniques de manipulation spécifiques incluent des adresses telles que mairie+_redir+O98jU99Q9Ukj@ et info+_redir+O98jU99Q9Ukj@ ;

Cibles des attaques : la majorité des attaques ciblent des boîtes de messageries génériques, fonctionnelles ou de contact. Les adresses couramment visées incluent direction@, contact@, secretariat@, et info@ ;

Horaires des attaques : les attaques sont souvent menées de façon ciblée et stratégique. Environ 35% d’entre elles sont lancées entre 8h et 10h du matin, moment où les activités professionnelles commencent généralement, augmentant ainsi la probabilité de réponse rapide. Un autre pic d’activité est observé à 15h, représentant 25% des attaques. Les envois restants sont dispersés tout au long de la journée, avec des activités notables même à des heures tardives comme 22h et 2h du matin.

À propos de Mailinblack :

Fondé en 2003, Mailinblack est un éditeur français proposant une plateforme de cybersécurité complète pour protéger les organisations du cyber-risque humain. Une centaine de collaborateurs basés à Marseille conçoivent, développent et hébergent en France ses solutions de cybersécurité. Parmi elles, Protect, solution de protection de messagerie, Cyber Coach, outil de sensibilisation et de simulation d’attaques, Cyber Academy, plateforme de formation à la cybersécurité, et Sikker, gestionnaire de mots de passe. Lauréate du Grand Défi Cyber et forte de plus de 20 années d’expertise en sécurité, R&D et intelligence artificielle, Mailinblack recense aujourd’hui plus de 2 millions d’utilisateurs et 22 000 clients dans le secteur public et privé. En 2022, elle était la seule entreprise du secteur de la cybersécurité à obtenir le label Great Place To Work® et à être entrée au palmarès des Best Workplace for Women.