Passer au contenu

Comment des hackers utilisent Dropbox pour voler des mots de passe

Une campagne de phishing sophistiquée utilise Dropbox pour piéger les internautes. Articulée en deux étapes, cette cyberattaque est presque impossible à déceler.

Les chercheurs de Kaspersky ont mis en lumière une campagne de phishing visant les employés d’entreprises « qui traitent des documents financiers ». La cyberattaque repose sur l’ingénierie sociale, une tactique de manipulation psychologique qui incite les individus à divulguer des informations confidentielles, et sur Dropbox, un service de stockage en ligne populaire. 

À lire aussi : Dropbox a été piraté – les données personnelles de certains clients ont été volées

Une cyberattaque en deux temps

Dans un premier temps, les cybercriminels vont usurper l’identité d’un cabinet d’audit. En se faisant passer pour ce cabinet, ils vont entrer en contact avec leur cible par mail. Pour tromper leurs victimes, les pirates se servent d’une adresse mail officielle, vraisemblablement compromise en amont. Comme souvent, l’opération repose sur une fuite de données, en forte hausse depuis quelques mois.

C’est en partie pourquoi l’attaque est difficile à déceler. Ce premier courriel prétend que le cabinet détient un rapport financier trop volumineux pour un transfert par mail. Les escrocs souhaitent donc transmettre le document à l’utilisateur par le biais de Dropbox.

« Aux yeux de ceux qui le lisent, l’email semble légitime et écrit par un être humain. Les logiciels de cybersécurité ne relèvent pas d’irrégularité non plus. Le prétexte selon lequel une société d’audit dispose d’informations relatives au destinataire est plausible, tout comme la clause de non-responsabilité concernant le partage d’informations confidentielles. En outre, l’e-mail ne contient ni lien ni pièce jointe et provient d’une adresse d’entreprise facilement vérifiable en ligne, ce qui le rend presque impossible à détecter par un filtre anti-spam », explique Roman Dedenok, expert en sécurité chez Kaspersky.

Mise en confiance, la victime va ensuite recevoir « une notification directement de Dropbox » sur sa boîte mail. Ce courriel officiel indique que le prétendu auditeur veut partager un document concernant l’état des finances de l’entreprise. Comme l’indique Kaspersky, « le destinataire a été préparé, de sorte qu’il est plus susceptible d’aller sur le site Web de Dropbox et d’essayer de voir le document ». Avec cette stratégie en deux étapes, les cybercriminels ont efficacement apaisé les éventuelles inquiétudes des utilisateurs.

Une fois ouvert par la victime, le document transmis sur Dropbox va permettre aux pirates d’arriver à leurs fins. Le fichier va ouvrir une fenêtre contextuelle Dropbox factice qui demande à la cible de se connecter avec « son identifiant et son mot de passe professionnels ». Ce fichier trompeur redirige vers un formulaire en ligne conçu pour aspirer les identifiants. Le piège se referme et les pirates disparaissent avec des informations sensibles. Ces données peuvent ensuite servir à orchestrer d’autres attaques.

Évidemment, le fait qu’un tiers réclame des identifiants professionnels devrait éveiller vos soupçons. Kaspersky rappelle que « ni Dropbox ni les auditeurs externes ne sont censés connaître votre mot de passe professionnel et ne peuvent donc pas en vérifier l’authenticité ». Il n’y a en conséquence pas de raison que ces informations soient réclamées.

Un seul indice

La cyberattaque est presque parfaite et impossible à déceler. En fait, il n’y a qu’un seul élément qui pourrait permettre à la cible de comprendre qu’il s’agit d’une supercherie. Les cybercriminels prétendent en effet que le mail a été envoyé par le biais de « Dropbox Application Secured Upload », un service de téléchargement sécurisé. Ce service n’existe tout simplement pas, mais il est probable que les employés dans le collimateur des pirates n’y prennent pas garde.

D’après les constatations de Kaspersky, le stratagème a été exploité dans le cadre d’attaques ciblées. Pour le moment, le mode opératoire a été uniquement repéré dans des « cas isolés ». On vous recommande malgré tout de redoubler de prudence.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Kaspersky


Florian Bayard