La campagne fait partie de ce que le FBI appelle “un effort concerté pour cibler les responsables électoraux américains”.

À l’approche des élections de mi-mandat qui se tiendront cet automne aux États-Unis, le Federal Bureau of Investigation (FBI) met en garde contre une escroquerie par hameçonnage (phishing) relativement nouvelle qui cible les fonctionnaires des États et des collectivités locales.

Cette campagne consiste à envoyer des factures d’apparence réaliste en pièces jointes.
Lorsqu’un utilisateur clique sur la pièce jointe, il est dirigé vers un site Web conçu pour collecter des informations d’identification.

Le FBI ne précise pas si ces attaques ont été couronnées de succès ou non, mais reconnaît qu’elles pourraient avoir des conséquences désastreuses.
S’il n’existe aucun moyen de surveiller l’accès aux comptes de messagerie, il est possible que l’attaquant puisse maintenir un accès permanent à un compte de messagerie très sensible à l’insu de son propriétaire.

Le FBI a émis un avertissement concernant cette campagne dans une notification au secteur privé mardi 22 Mars.

Bien que les incidents décrits dans l’avertissement aient tous eu lieu en octobre 2021, le FBI affirme que la campagne présente les caractéristiques d’un effort coordonné et continu.

Dans le cadre de cette campagne, une série d’e-mails d’hameçonnage a été envoyée à des responsables électoraux dans neuf États et à des représentants de l’Association nationale des secrétaires d’État.
Les courriels étaient accompagnés d’une pièce jointe, “INVOICE INQUIRY.PDF”, qui dirigeait les utilisateurs vers un site de collecte d’informations d’identification.

Composée de secrétaires d’État des États et territoires américains, l’Association nationale des secrétaires d’État (NASS) est une cible de choix, en particulier pour les hacker ciblant les États.
Ses membres supervisant les élections présidentielles, ont été chargés de lutter contre la désinformation électorale et ont formulé des recommandations pour les audits post-électoraux.
Il n’est pas très surprenant que des acteurs malveillants, en particulier ceux qui rêvent de perturber la démocratie, veuillent s’introduire de force dans la messagerie électronique d’un membre de la NASS, pour faire de l’espionnage et éventuellement semer le doute.

La NASS n’était pas le seul groupe visé.

Dans deux autres incidents, à un jour d’intervalle en octobre, le FBI affirme que des courriels de phishing ont été envoyés à des employés et à des responsables électoraux de comtés avec des pièces jointes Word qui traitaient de factures ; l’une d’elles était intitulée “Current Invoice and Payments for report.”.
Une fois cliqués, les documents conduisaient les utilisateurs vers un site Web de collecte d’informations d’identification en ligne.

En raison de la proximité des attaques et de la similitude des fichiers joints, le FBI a qualifié les courriels de phishing comme “a concerted effort to target US election officials.”.

L’utilisation du mot “invoice” comme appât pour le phishing, que ce soit dans l’objet d’un courriel ou dans une pièce jointe est depuis longtemps l’une des techniques favorites des escrocs.

La ville de Fresno, en Californie, a révélé il y a quelques semaines qu’elle avait perdu environ 400 000 dollars en 2020 après avoir été victime d’une escroquerie similaire ; un employé municipal a effectué un transfert d’argent électronique pour le phisher sans savoir que la facture reçue par la ville était fausse.

Pour atténuer les attaques de phishing de ce type, le FBI encourage toutes les organisations, et pas seulement celles des gouvernements d’État et locaux, à appliquer les mesures d’atténuation suivantes :

• Apprenez aux employés à identifier les tentatives d’hameçonnage, d’ingénierie sociale et d’usurpation d’identité.
• Créer des protocoles pour que les employés envoient les e-mails suspects aux services informatiques pour confirmation.
• Marquez les courriels externes avec une bannière indiquant que le courriel provient d’une source externe afin d’aider les utilisateurs à détecter les courriels frauduleux.
• Activez des filtres anti-spam puissants pour empêcher les e-mails de phishing d’atteindre les utilisateurs finaux. Empêchez les utilisateurs finaux de recevoir des courriels contenant des fichiers exécutables.
• Conseillez au personnel de formation de ne pas ouvrir les pièces jointes des e-mails provenant d’expéditeurs qu’ils ne reconnaissent pas.
• Exiger que tous les comptes avec des connexions par mot de passe (par exemple, le compte de service, les comptes d’administration et les comptes d’administration de domaine) aient des authentifications fortes et uniques.
• Exiger une authentification multifactorielle pour tous les services dans la mesure du possible, en particulier pour la messagerie web, les réseaux privés virtuels et les comptes qui accèdent à des systèmes critiques.
• S’il existe des preuves de compromission du système ou du réseau, mettez en place des changements de phrases d’identification ou mots de passe obligatoires pour tous les comptes concernés.
• Maintenez tous les systèmes d’exploitation et les logiciels à jour.

Bien que ces conseils ne soient pas destinés spécifiquement aux agents électoraux, ils englobent de nombreuses bonnes pratiques, non seulement en matière de sécurité des e-mails, mais aussi en matière d'”hygiène de la cybersécurité”.

Le maintien d’un haut niveau de scepticisme à l’égard des courriels provenant d’expéditeurs inconnus, en particulier lorsque les adresses électroniques proviennent de domaines suspects ou contiennent des pièces jointes, peut aider tout le monde à prévenir les tentatives d’hameçonnage et les logiciels malveillants par courriel.

Source : Digital Guardian

Pour en savoir plus concernant la solution.