0
1
Plusieurs entreprises ont reçu des emails douteux, écrits en « arabe » ayant comme source d’émission une IP Libanaise.
Objet: رسالة من خدمة الأمن. المتسللين لديهم حق الوصول إلى حسابك.
Cet email est envoyé en utilisant le domaine/adresse de la cible (Spoof d’adresse email et de domaine), prétendant que le poste de travail de la cible a été piraté et que l’attaquant a pu observer l’utilisateur en train d’accéder à des sites indécents. Par la suite le pirate menace de publier les enregistrements et demande une rançon pour ne pas le faire.
Il s’agit bien évidemment d’un faux message, l’expéditeur de l’email n’a pas réellement piraté la cible, mais il a juste fait une usurpation d’adresse email. Il faudra par conséquent ignorer l’email.
Par contre le problème qui se pose dans ce genre de scénario est le fait que l’envoie d’un email en spoofant le domaine devrait être bloqué par le serveur email, par l’anti-spam voir même par le client email. Si cet email n’a pas été bloqué c’est qu’il y a des problèmes de configuration et de sécurité au niveau du serveur email et du domaine. Il faut donc renforcer la configuration du serveur (filtrage et authentification) et celle du domaine en configurant les paramètres (SPF, DKIM et DMARK).
On vous recommande de doubler de vigilance, surtout durant ces vacances de fin d’année.
Pour plus d’information et pour demander de l’assistance, vous pouvez nous contacter sur incident@csirt.tn.
CSIRT.tn by Keystone Group, est une unité spécialisée dans la réponse aux incidents et dans l’investigation numérique, membre du réseau international FIRST.
