Une large campagne de Phishing ou hameçonnage dure depuis une semaine contre les clients des plus grandes banques marocaines : BMCI (Banque Marocaine du Commerce Intérieur ) , BMCE (Banque Marocaine du Commerce Extérieur ) , et le Crédit Agricole . Une campagne assez structurée mais avec des ratés de la part des attaquants et des banques, ce qui rend cette campagne un cas d’études.
Scénario de l’attaque :
1 – Les clients reçoivent des emails des fausses adresses suivantes :
- BMCE : BMCE BANK [[email protected]]
- Credit Agricole : Credit Agricole [[email protected]]
- BMCI : B N P [[email protected]]
Mais qui sont en réalité envoyés de l’adresse : [email protected].
la structure des e-mails que les clients ont reçus sont assez simple avec le texte et le lien : « Vous avez un nouveau message » .
2 – le client clique sur le lien , il est ensuite redirigé vers des pages créées dans différents sites piratées dont un en (https)
- hxxps://globaltefl.uk (point) com / page frauduleuse
- hxxp://peliculas1link (point) net / page frauduleuse
- hxxp://www.msautotrade (point) com / page frauduleuse
- hxxp://www.euro-sofa.com.ua/ page frauduleuse
les pages affichées sont des pages fraichement copiées des sites de banques , très peu de différence existe entre les pages originales et les pages utilisées pour l’attaque ,
quelques image copiées en local sur le site piraté ainsi que les pages d’ authentification qui ont été échangées par des pages locales en php .
Ratées de cet épisode de phishing :
1 – Le Crédit Agricole dans un manque de jugement absolu a envoyé un email d ‘avertissement à tous ces clients avec le lien vers le site du phishing cliquable ce qui est absurde .
L’utilisateur marocain moyen a un niveau de connaissance informatique et de français discutable , il va cliquer sur le lien envoyé par la banque soit par erreur ou inadvertance , ce qui rend la campagne de phishing encore plus efficace et plus ciblée .
2 – Les attaquants ont envoyé aux même adresses et en même temps les liens frauduleux pour les trois banques, qui ne peut qu’éveiller les soupçons des utilisateurs et rendre l’attaque inefficace , en plus les attaquants ont gardé les trackers Google sur les pages copiées , ce qui permet aux banques de trouver facilement les pages et l’adresse ip des attaquants s’ils ont testé les pages dans leur poste local ou voir le premier utilisateur qui a accédé à la page .
Cette campagne confirme l’intérêt des cybercriminels aux banques et clients marocains qui ne sont pas armés pour faire fasse à des campagnes de phishing ou d’autres types d’attaques , et les rend donc très vulnérables , ce qui doit pousser les banques à faire plus des campagnes de sensibilisation (efficaces) .