C’est une attaque qui continue à se produire et qui fait partie de ce que nous appelons BEC 3.0 : l’utilisation d’outils légitimes pour envoyer des attaques de phishing.
Mais le phishing se présente sous toutes les formes et l’une d’entre elles, toujours d’actualité, c’est l’usurpation d’identité (le spoofing). Ce sont des attaques qui semblent provenir d’un service légitime, mais qui en réalité partent d’un domaine ou d’une adresse e-mail malveillante.
Nous assistons à une augmentation des attaques qui usurpent l’identité de QuickBooks (des centaines au cours des dernières semaines).
Dans ce résumé d’attaque, les chercheurs de Check Point Harmony Email expliquent comment les pirates usurpent l’identité de QuickBooks pour « phisher » les utilisateurs.
L’attaque
Dans cette attaque, les pirates usurpent l’identité de QuickBooks pour extorquer de l’argent aux utilisateurs finaux.
• Vecteur : e-mail
• Type : usurpation d’identité
• Techniques : ingénierie sociale, collecte d’identifiants
• Cible : tout utilisateur final

Exemple d’email :
Cet e-mail est envoyé par « Quickbooks Solutions », qui n’est clairement pas QuickBooks.
Mais si vous ne regardez pas l’adresse de l’expéditeur, vous verrez un e-mail indiquant que votre compte QuickBooks doit être actualisé. Si vous ne le faites pas, vous risquez de ne plus avoir accès à un grand nombre de services clés comme le traitement des salaires, le paiement des factures etc.

Si vous vous servez de QuickBooks dans votre entreprise, cela pourrait être un signal d’alarme. Il est possible que vous décidiez d’appeler le service d’assistance de QuickBooks pour régler le problème.
Mais si vous appelez, vous n’arriverez pas les joindre. En fait, il s’agit d’un numéro de scam associé à des attaques contre QuickBooks :

Plusieurs signaux devraient éveiller l’attention des services de sécurité des e-mails et des utilisateurs, indiquant qu’il y a un problème. L’un d’eux concerne l’adresse de l’expéditeur. Ce n’est pas une adresse e-mail traditionnelle et encore moins associée à QuickBooks. Deuxièmement, le numéro de téléphone. Notre IA balaie les numéros de téléphone et les compare à des numéros de scam pour voir si quelque chose cloche.
Troisièmement, le ton. Il est pressant, avec plein de couleurs rouges. Et la grammaire est plutôt maladroite.
En résumé, il s’agit d’une attaque qui devrait vous mettre la puce à l’oreille.

Techniques
L’usurpation de marques connues (et même moins connues) est une tactique de phishing bien courante. Elle est populaire parce qu’elle fonctionne toujours, même si certaines campagnes ne sont pas toujours crédibles.
Cette attaque, qui usurpe l’identité de QuickBooks, n’est que partiellement convaincante. Mais elle réussit très bien à faire comprendre l’urgence de la situation. Si vous ne renouvelez pas votre abonnement, dit l’e-mail, vous perdrez l’accès à des services essentiels, tels que le paiement des factures, des salaires, des impôts, etc.
Lorsque vous voyez ce message et que vous réalisez que vous risquez de perdre l’accès à ces outils, vous avez tout intérêt à agir rapidement.
C’est exactement ce qu’espèrent les pirates. Tout ce qu’il faut, c’est un moment où l’utilisateur ne réfléchit pas ou agit trop rapidement. Un instant qui peut suffire à provoquer de graves conséquences.

Les meilleures pratiques : conseils et recommandations
Pour lutter contre ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :
• Instaurer une sécurité qui se sert de l’IA pour analyser plusieurs indicateurs de phishing, comme les numéros de téléphone.
• Appliquer une sécurité complète capable d’analyser documents et fichiers.
• Mettre en place une protection efficace des URL qui analyse et simule les pages web.