En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

Episode 2 FIR Formind 1 – Phishing 0

image system hacked

< Retour

Thématique : SOC & CERT

Type de contenu : Article

RETEX FIR Formind – Episode 2

Récemment, @Alexandre et @Christophe, membres de la Force d’Intervention Rapide de @Formind, ont été confrontés à un incident de type #phishing qui a donné lieu à une série d’événements extraordinaires. Cette expérience nous a rappelé à quel point la vigilance est essentielle dans le monde de la #cybersécurité.

L’histoire commence par un premier compte compromis au sein d’une entreprise. Plus de 3000 emails de phishings ont été envoyés depuis ce compte = une véritable marée d’attaques visant spécifiquement le carnet d’adresses de la victime. Cette tactique avait pour objectif d’établir un sentiment de confiance, en utilisant l’adresse de la victime pour tromper les destinataires. Cette campagne de phishing ciblée a conduit à la compromission d’un second compte qui, à son tour, a expédié plus de 1000 emails malveillants. L’effet boule de neige était en marche.

Vaque de mails partant d'un PC

C’est à ce moment que la FIR @Formind est entrée en action pour enquêter sur le locataire O365.

Nous avons immédiatement « dégainé » notre savoir-faire, identifié et bloqué tous les comptes compromis pour contenir l’incident, et éviter toute nouvelle compromission. Lorsque nous avons examiné les détails de cette attaque, nous avons découvert un mail de demande de paiement, accompagné d’une facture falsifiée contenant le RIB de l’attaquant. Nous avons alors contacté la victime, et dès qu’elle a su qu’il y avait une facture de près d’un million d’euros en jeu, elle s’est rendue précipitamment au service de la comptabilité et vérifier si le virement avait déjà été réalisé. L’urgence était palpable. Après plusieurs minutes d’attente insoutenable, le client est revenu vers nous avec un soulagement évident. Le virement n’avait pas été exécuté, car le RIB ne correspondait pas. La vigilance de la comptable a fait toute la différence, empêchant l’arnaque de réussir.

Pourtant, l’attaque était redoutablement bien orchestrée. Les attaquants avaient intercepté une véritable facture de la boîte aux lettres de la première victime, l’avaient modifiée pour y insérer leurs coordonnées bancaires, puis l’avaient renvoyée à la victime en utilisant un nom de domaine spécialement créé pour l’occasion. La technique du typosquatting avait été utilisée pour usurper l’identité du véritable expéditeur. Tout avait été mis en place pour tromper et réussir.

Heureusement, grâce à notre intervention rapide et à une communication transparente avec notre client, nous avons pu empêcher le pire. Cela nous rappelle que la collaboration et la vigilance sont essentielles pour contrer ces menaces de plus en plus sophistiquées.

Notre équipe de réponse à incident reste déterminée à protéger ses clients et à agir rapidement face à ces défis quotidiens complexes.

=> La FIR Formind 1 – Le Phishing 0

Pour notre prochain RETEX épisode 3, rendez-vous là.

Et pour plus d’information sur la FIR Formind, c’est par ici

#FIR #DFIR #IR #GestionCrise #Phishing #GoFormind