Hameçonnage via les fichiers PDF en ligne | Blog officiel de Kaspersky

Business e-mail enterprise hameçonnage PDF phishing SMB

Cette nouvelle technique d’hameçonnage qui vise à obtenir les identifiants de messagerie électronique professionnelle envoie des notifications qui proviennent soi-disant des services en ligne Adobe. Et comme les cybercriminels ont commencé à utiliser les fichiers PDF en ligne qui sont censés se trouver sur le site Web d’Adobe, nous avons créé un vrai fichier afin de vous montrer les caractéristique d’un e-mail d’hameçonnage ainsi que d’un faux « fichier PDF en ligne ».

Contenu de l’e-mail d’hameçonnage pour Adobe PDF Online

La première chose qui saute aux yeux dans ces messages d’hameçonnage c’est la description du fichier : partagé avec vous via le « service en ligne sécurisé Adobe PDF Online ». La première chose à faire, c’est de se demander si le service existe vraiment, ce qui a l’air d’être le cas : une recherche rapide sur Google vous dira qu’Adobe possède en effet un tel service et que ce dernier permet aux utilisateurs de partager des fichiers chiffrés. Cependant, vous ne le trouverez pas sous le nom d’ « Adobe PDF online ». Sur le site officiel d’Adobe, vous avez le choix entre « Adobe Acrobat online » ou bien « Adobe Document Cloud ». Quelque peu curieux, j’ai demandé à un collègue de m’envoyer un fichier afin de comparer les notifications.

La vraie notification se trouve à droite

La vraie notification se trouve à droite

Supposons que vous ne savez pas à quoi ressemble une vraie notification d’un partage de fichier provenant d’Adobe. Vous pouvez voir ci-dessous certaines des caractéristiques à prendre en compte. Aucune n’est sûre à 100 %, puisqu’il y a toujours des exceptions à la règle, mais vous devez être vigilant et y prêter une attention particulière en les analysant plus en profondeur :

  1. L’expéditeur. Si l’e-mail provient d’un service en ligne, le nom et l’adresse de ce dernier devraient le confirmer. À l’inverse, si le message provient d’une personne en particulier, il ne ressemblera pas à une notification provenant d’un service ;
  2. L’objet. Si vous écrivez à quelqu’un appelé Léo, est-ce que vous écririez comme objet quelque chose comme « leonides@gmail.com a reçu un fichier PDF » ?
  3. Le nom du service. Vous n’avez pas à vous rappeler du nom de tous les services en ligne qui existent, mais si vous avez un doute, faites une recherche sur Internet pour en être sûr ;
  4. Les liens hypertextes / boutons. Avant de cliquer sur le bouton Télécharger ou Ouvrir, passez votre pointeur sur les fichiers afin d’inspecter le lien hypertexte et de vous assurer qu’il redirige vers là où il devrait ;
  5. Pied de page. Il est très peu probable qu’un e-mail provenant d’Adobe se termine en disant que Microsoft respecte votre vie privée.
  6. Lorsqu’il y a marqué « veuillez lire notre politique de confidentialité » mais qu’il n’y a pas de lien.

Il ne s’agit pas du site Web Adobe Document Cloud

Pour le moment, on peut toujours croire que les cybercriminels commettront une erreur, mais ils peuvent aussi faire du bon boulot. Supposons que l’e-mail n’ait pas l’air frauduleux. Il faut maintenant examiner le site Web qui, ici, ressemble à une fenêtre d’authentification placée par-dessus l’interface floutée d’Adobe Acrobat Reader DC. En réalité, ce format ne paraît pas tiré par les cheveux pour les personnes ayant reçu l’e-mail qui ne savent pas à quoi ressemblent réellement le vrai site Web des services en ligne Adobe Acrobat ainsi que la fenêtre de demande de saisie du mot de passe.

Demande de saisie du mot de passe sur le site d'hameçonnage (en haut) et sur le site Web officiel d'Adobe (en bas)

Demande de saisie du mot de passe sur le site d’hameçonnage (en haut) et sur le site Web officiel d’Adobe (en bas)

Nous pouvons voir ici plusieurs signaux d’alarme. Commençons par l’arrière-plan flouté : ce n’est pas une méthode professionnelle pour protéger les données confidentielles car certaines parties du texte sont lisibles.

  1. L’URL. Le site Web des services Adobe devrait contenir comme nom de domaine celui du site Web, c’est-à-dire Adobe ;
  2. Nom du fichier. Même si le fond est flou, on peut lire le nom du fichier qui est EMInvoice_R6817-2.pdf et qui ne correspond absolument pas avec celui de la fenêtre d’authentification qui se nomme « Reçu de Virement Bancaire.pdf »;
  3. Confusion entre les termes. Le document flouté contient le mot « Facture » (une demande de paiement), mais le nom du fichier indique « Reçu » (confirmation d’un paiement déjà reçu) ;
  4. Les versions du programme. Le nom « Adobe Acrobat Reader DC » apparaît en arrière-plan alors que celui de la fenêtre d’authentification est Adobe Reader XI. Une personne qui ne manipule pas souvent les fichiers PDF peut ne pas savoir que XI est une ancienne version du programme. Cependant, la différence entre les deux devrait éveiller les soupçons ;
  5. Sécurité AdobeDoc. Vous ne connaissez peut-être pas toutes les technologies d’Adobe, mais le symbole de la marque déposée situé à côté d’ « Adobe Doc » vous sera utile dans cette situation ;
  6. La demande de saisie du mot de passe de l’adresse mail. Un vrai service Adobe Acrobat ne vous demandera jamais le mot de passe de votre messagerie électronique, jamais.

Comment protéger les adresses de messagerie professionnelle des cybercriminels

Afin de protéger les employés d’une tentative d’hameçonnage, voici ce que vous pouvez faire :

Source: Kaspersky