Des milliers de personnes ont reçu de faux e-mails du FBI la semaine dernière, après qu’un pirate informatique ait infiltré leur système de messagerie externe – bien qu’aucune information personnelle n’ait été consultée lors de l’attaque.
Les e-mails, qui avertissent d’une cyberattaque inexistante, semblent provenir directement du FBI, et il est probable que le pirate ait extrait les adresses ciblées d’une base de données en ligne. Heureusement, aucune information personnelle n’a été consultée ou compromise pendant l’attaque – bien que le FBI ait qualifié l’incident de « situation continue ».
Des contrefaçons convaincantes
Le projet Spamhaus a partagé l’un des courriers indésirables sur Twitter et a analysé les métadonnées pour déterminer que le pirate en question avait accédé au portail d’entreprise d’application de la loi (LEEP) du FBI pour envoyer les fausses communications.
LEEP ne fait pas partie du service de courrier électronique d’entreprise du FBI et est plutôt utilisé pour communiquer avec les autorités nationales et locales. En fait, les e-mails de spam provenaient d’un serveur utilisé pour envoyer les notifications LEEP.
Des milliers d’adresses ont reçu de faux e-mails – et il est probable que le pirate informatique ait collecté certaines de ces adresses à partir de la base de données American Registry for Internet Numbers. Les e-mails eux-mêmes avertissent les destinataires d’une cyberattaque imminente, avec une ligne d’objet tirée directement de l’infrastructure du FBI et un corps de texte bourré de langage technique.
Heureusement, le Le FBI a publié une brève déclaration affirmant que le pirate informatique n’avait pas accédé aux bases de données internes ou aux réseaux d’agences et n’avait compromis aucun secret d’État ni aucune information personnelle classifiée.
Une fois que nous avons eu connaissance de l’incident, nous avons rapidement corrigé la vulnérabilité du logiciel, averti nos partenaires de ne pas tenir compte des faux e-mails et confirmé l’intégrité de nos réseaux.
Manque de motivation
Actuellement, l’objectif derrière l’attaque reste incertain, car les e-mails eux-mêmes ne contiennent aucun appel à l’action perceptible, courant dans la plupart des tentatives de phishing – il a été théorisé que le pirate informatique aurait pu découvrir la vulnérabilité LEEP par hasard.
L’individu peut avoir simplement eu l’intention d’impressionner des groupes clandestins de cybercriminels partageant les mêmes idées. Alternativement, bien que la vulnérabilité n’ait pas été exploitée à des fins financières, il est possible qu’ils aient utilisé les faux e-mails comme tactiques de diffamation ciblées en réponse à une enquête de cybersécurité.
Les messages mentionnent le Groupe de piratage Dark Overlord, voleurs de données infâmes qui exigent souvent de grosses rançons, et prétendent que Vinny Troia est l' »acteur menaçant » (hacker/coupable). Troia, le fondateur de Night Lion Security, a publié des recherches détaillées sur le gang criminel Dark Overlord en 2020 – et a même exposé l’identité d’un pirate informatique au cours du rapport.
Catastrophe évitée
Selon le FBI, le matériel affecté par l’incident a été mis hors ligne – et le Bureau recommande également que tout e-mail suspect soit signalé à ic3.gov ou à cisa.gov.
Une fois de plus, il est incroyablement chanceux qu’aucune donnée identifiable n’ait été compromise ou exploitée lors de cyberattaques successives – un pirate informatique ayant accès à un système de messagerie gouvernemental aurait pu abuser du pouvoir pour affecter des milliers de personnes, après tout, et les experts en cybersécurité se demandent maintenant pourquoi le FBI Le portail LEEP était si facilement infiltré.
L’incident souligne également la menace persistante du phishing, une escroquerie souvent menée par courrier électronique qui représente environ 90% de toutes les violations de données. On estime que 3,4 milliards d’e-mails de phishing sont envoyés chaque jour, et le volume considérable d’attaques augmenté de 20% en 2021.
Ces escroqueries s’appuient souvent sur les noms et la réputation d’organisations bien connues, comme le FBI et d’autres organismes gouvernementaux, pour effrayer les victimes afin qu’elles transmettent leurs informations personnelles ou leurs détails financiers.
La faute dans nos e-mails
Les e-mails ne sont malheureusement que pas si sûr – ils n’ont pas été conçus dans un souci de confidentialité, et des cas comme celui-ci soulignent davantage cette réalité.
Les e-mails envoyés sont stockés en clair sur un serveur et, en tant que tel, nous ne pouvons qu’espérer que nos fournisseurs de messagerie et administrateurs informatiques ne décident pas de jeter un œil par eux-mêmes. Il n’y a aucune garantie que les e-mails contenant des informations sensibles ou des détails financiers ou personnels vitaux seront conservés en toute sécurité pendant le transport ou au repos, et il n’y a aucun moyen de rappeler les e-mails envoyés non plus.
De plus, nous savons maintenant que Google analyse les e-mails pour collecter des informations sur ses utilisateurs et créer des profils détaillés – qui sont ensuite utilisés pour les revenus publicitaires, et peuvent même être précieux pour les agences invasives (et avides de données) comme la NSA.
La bonne nouvelle
Il existe cependant des alternatives fiables et de nombreux fournisseurs de messagerie soucieux de la sécurité offrent tranquillité d’esprit et confidentialité en échange d’un petit abonnement.
Ces fournisseurs ne scannent pas les e-mails, ne diffusent pas des tas de publicités et utilisent un cryptage de bout en bout pour garder les correspondances des utilisateurs hors de portée des fournisseurs curieux, de la NSA et de tout pirate informatique opportuniste cherchant à impressionner leurs amis.
