Aujourd’hui j’ai eu la mauvaise surprise de découvrir une nouvelle fourberie des créateurs de virus, leur imagination est vraiment sans limite car cette fois ci cela passe par un peu de spam au travers d’un mail de confirmation de commande.
1ère étape : le mail de confirmation de commande
Le sujet est simple : Order Status for Order #92YWKEE , from Athleta Order Confirmation. Voici le mail on dirait un vrai (pour peu qu’on ait effectivement commandé sur ce site )
Le pire c’est que le site existe, je ne me souvenais pas avoir commandé dessus mais bon, je reçoit des communiqués de presse tellement bizarres parfois que pas grand chose ne m’étonne en terme de mail. De plus c’est très intelligent car comme le souligne si souvent Bruno Fridlansky de consonaute l’email de confirmation de commande est le seul à avoir un taux d’ouverture proche de 100% !
La tentative d’infection utilise une des marques du groupe GAP, donc idéal pour faire du spamming de masse, Gap étant une marque mondiale et extrêmement connue.
2eme étape : le lien
Le seul lien contenu dans l’email étant un suivi de commande il est assez tentant de cliquer dessus pour en savoir plus (il n’y a aucun autre call to action dans l’email ! ), surtout que l’ancre du lien parait officielle.
Le lien redirige vers une url de tracking mais cela arrive assez souvent , rien de très surprenant, je pense donc qu’une majorité de gens cliquent donc sur ce lien sans se douter de la tentative de piratage de leur ordinateur.
Le lien déclenche le téléchargement d’une fichier zip intitulé « invoice-92YWKEE.zip » et reprend donc le nom dans l’email, cela crée une réassurance permettant de tromper un peu plus de personnes. Il faut admettre que même si j’ai eu un doute dès le départ c’est seulement à ce niveau que j’ai été convaincu à 100 % que cet email était une tentative de piratage. En effet, peu de sites proposent le téléchargement d’un fichier zip directement depuis l’email de confirmation de commande.
3eme étape : le fichier zip vérolé
Si l’on ouvre ce fichier zip (je l’ai fait dans un environnement sécurisé au cas ou) on tombe sur un fichier à exécuter (un .exe) qui va lancer un virus qui infectera le système en silence et transformera le pc en botnet.
Je dois avouer que je n’ai pas eu le courage de vérifier les protections de mon pc et de tester sa réaction à ce virus , les effets précis ne sont donc pas connus mais un exe dans un fichier zip cela sert juste à triomper les utilisateurs. Et puis vous avez déjà vu une facture en .exe ? Moi jamais.
Quelles solutions un e-commerçant peut’il mettre en place ?
C’est donc une très belle tentative d’infection en masse en pc, très bien pensée et très professionnelle dans son exécution. L’ensemble de la chaîne d’infection à été finement étudié par le pirate et les résultats doivent être très très bon, les solutions ne sont donc pas légions.
- Il faut tout d’abord faire en sorte que vos mails ne soient pas identifiés comme envoyés « via » un routeur :
- Pensez à envoyer vos clients vers un compte client protégé en https
- Indiquez en bas de mail des consignes de protection tels que :
- « Nous ne vous demanderons jamais votre mot de passe »
- « Nous n’envoyons jamais de fichiers zip ou .exe par email
- « La seule adresse de notre site est http://xxxxxxxx.xxx »
Laisser un commentaire