Phishing massifs UPS : attention aux faux colis en circulation

LockSelf Team

6 min de lecture
Partager
Phishing massifs UPS : attention aux faux colis en circulation

Analyse technique

Anatomie du leurre

Ces dernières semaines, des campagnes de phishing se présentent de plus en plus souvent comme des notifications de livraison. Le scénario est récurrent: expéditeur falsifié, message alarmiste sur un colis manquant, HTML soigné avec logo UPS et un bouton "Vérifier le statut" pointant vers une URL hostile. Les attaquants rendent le leurre crédible en cumulant plusieurs techniques:

  • Enregistrement de domaines proches (typosquatting) ou utilisation de sous-domaines trompeurs, par exemple des domaines tels que track.ups-notice[.]com ou ups.delivery-check[.]com.
  • Obtention de certificats TLS valides pour afficher un cadenas dans le navigateur; ces certificats proviennent souvent d'autorités légitimes et renforcent l'illusion de sécurité.
  • Inclusion de paramètres "token" opaques dans l'URL, par exemple https://ups-delivery.example.com/confirm?token=0a9f1c2b3e4, qui personnalisent la page pour chaque destinataire.
  • Redirections en chaîne: clic sur un lien initial qui passe par un domaine compromis puis par un CDN avant d'atterrir sur la page finale. Ces chaînages compliquent la détection automatisée.

Ces éléments sont observés dans les campagnes récentes visant à usurper des services de transporteur¹ ². Les tokens opaques jouent plusieurs rôles: valider les adresses actives en enregistrant les clics, limiter la fenêtre temporelle pendant laquelle la page frauduleuse est exploitable, et préremplir des champs avec des données partielles pour renforcer la crédibilité du formulaire.

Mécanismes de collecte et de persistance

Les pages de phishing suivent généralement deux modèles dominants.

  • Formulaire de récupération d'identifiants: imitation du portail officiel demandant email et mot de passe, parfois suivie d'une requête pour un code de validation ou des prétendus frais. Les données sont envoyées en POST vers une API malveillante, puis stockées dans des bases NoSQL ou des fichiers exploitables par les opérateurs.
  • Capture d'informations de paiement: page simulant le paiement de frais administratifs demandant numéro de carte, date d'expiration et CVV; les données peuvent être testées en temps réel sur des services de paiement frauduleux ou revendues.

Pour rester opérationnels et échapper aux contrôles, les opérateurs combinent plusieurs tactiques:

  • Rotation rapide de domaines et d'infrastructures, souvent via des services d'hébergement permissifs.
  • Utilisation de redirections via des services légitimes ou de shorteners privés pour masquer la destination finale.
  • Détection d'environnements d'analyse: scripts qui repèrent des user-agent connus de sandbox, l'absence d'interaction souris/clavier, ou des résolutions d'écran atypiques, et qui affichent alors une page inoffensive.

Indicateurs techniques observables

Plusieurs signaux permettent de détecter ces campagnes avant qu'elles ne fassent trop de dégâts:

  • Domaine: âge faible (souvent < 30 jours), registrar low-cost, WHOIS anonymisé.
  • DNS: enregistrement A pointant vers une infrastructure partagée avec d'autres domaines suspects; absence ou incohérence des enregistrements SPF/DKIM pour le domaine d'envoi.
  • Certificat TLS: certificat récent, parfois dont le Subject Common Name diffère du nom visible, souvent délivré par Let's Encrypt ou équivalents.
  • Chaîne de redirections: plus de deux redirections HTTP distinctes avant d'atteindre la page finale.
  • Contenu HTML: formulaire POST dont la destination n'est pas liée au transporteur usurpé; scripts minifiés ou obfusqués; inclusion de ressources chargées depuis domaines externes.

Exemple simplifié d'une chaîne observée:

  • URL affichée: https://www.ups.com/track?tracknum=1Z999AA10123456784
  • URL réelle après clic: https://track-ups.co/redirect?token=4f3a2b
  • Redirection finale: https://cdn-useast.examplehost.com/hb/ups/confirm.html

Commandes utiles pour vérifications rapides: WHOIS, dig +short, tests TLS via SSL Labs, et inspection de l'en-tête HTTP 'Location' pour identifier les redirections.

Interactions avec les protections existantes

Les protections du courrier électronique reposent majoritairement sur SPF, DKIM et DMARC. Les usurpateurs contournent parfois ces défenses en envoyant depuis des domaines légitimes compromis ou en configurant correctement SPF/DKIM sur des domaines récemment acquis. Le format HTML riche des messages et l'utilisation d'images embarquées favorisent l'évasion des filtres basés sur le contenu. Rappel important: la présence du cadenas TLS indique seulement que la connexion est chiffrée, pas que la page est légitime³.

Les solutions modernes combinent filtrage statique, sandboxing et inspection des URLs en temps réel mais restent vulnérables aux techniques de rotation de domaines et aux chaînes de redirection dynamiques décrites plus haut. Les opérateurs exploitent également des services tiers pour héberger temporairement les pages frauduleuses et éviter les blocages rapides.

Impacts business

Risques financiers directs

La captation d'identifiants et d'informations de paiement entraine des pertes immédiates: fraudes sur comptes et cartes, remboursements et chargebacks, coûts d'enquête et de remédiation. Pour une PME, la compromission d'un compte administrateur ou d'un système de paiement peut provoquer une interruption des opérations et des coûts de restauration élevés. Les rapports montrent que les campagnes massives de phishing restent une source majeure de compromissions financières³.

Risques réputationnels et conformité

Un faux email envoyé au nom d'une entreprise peut dégrader la confiance client. Si des clients sont redirigés vers une page de paiement frauduleuse et voient leurs données exposées, cela déclenche des obligations de notification RGPD, des enquêtes potentielles et des coûts réputationnels significatifs. Le signalement public de ces incidents peut réduire durablement la confiance et générer des pertes commerciales.

Risques opérationnels

Illustration cybersécurité

La perte d'accès à des comptes critiques (plateformes e-commerce, outils de suivi) perturbe la chaîne logistique. Le phishing peut être le point d'entrée vers des attaques plus élaborées: collecte d'identifiants, mouvements latéraux et installation de portes dérobées ou ransomware.

Ordres de grandeur

Les coûts varient fortement selon la taille de l'organisation et l'étendue de la compromission. Pour une campagne massive visant des millions d'adresses, un faible taux de réussite suffit à générer un nombre élevé de comptes compromis; des analyses sectorielles fournissent des ordres de grandeur et tendances sur ces taux de réussite³.

Recommandations

Pour les équipes SOC et administrateurs mail

  • Renforcer l'analyse des URLs: déployer l'expansion et le suivi des redirections, valider le domaine final et bloquer automatiquement les destinations récemment enregistrées ou signalées.
  • Bloquer les domaines récemment enregistrés en production et synchroniser les blacklists avec des sources partagées.
  • Durcir la messagerie: passer DMARC en mode 'reject' pour les domaines internes critiques, activer DKIM et surveiller les échecs d'alignement.
  • Activer BIMI pour les communications publiques: cela améliore la détection visuelle d'usurpation pour les utilisateurs finaux.
  • Instrumenter la télémétrie: enregistrer les chaînes de redirections et les tokens retrouvés dans les URLs, corréler les clics suspects avec les logs web et proxy pour détecter rapidement les exfiltrations.

Pour le personnel et la prévention utilisateur

  • Former au tri des emails et aux bonnes pratiques: ne pas cliquer sur les liens inattendus, survoler les liens pour voir la destination, vérifier l'adresse d'expédition réelle.
  • Confirmer toute demande de paiement ou de données sensibles via un canal alternatif (appel au numéro officiel ou connexion directe au portail connu).
  • Déployer MFA partout: privilégier les solutions basées sur clé publique (FIDO2) ou TOTP plutôt que SMS là où c'est possible.

Réponse rapide en cas d'incident

  • Isoler les comptes compromis et révoquer immédiatement tokens et mots de passe.
  • Lancer une analyse forensique: collecter les en-têtes des emails, les chaînes de redirection, les journaux proxy et les logs d'accès web pour reconstituer le chemin de l'attaque.
  • Partager les IoC (domaines, URLs, adresses IP) avec les équipes internes et les CERTs pour accélérer le blocage et limiter l'impact.

L'efficacité passe par l'automatisation des défenses (analyse d'URL, corrélation des logs) associée à une vigilance humaine régulière (formations et simulations). Les techniques observées récemment, notamment l'utilisation de tokens opaques et de redirections chaînées, montrent que les attaquants continuent à ajuster leur tactique pour échapper aux contrôles standard. Une posture combinant prévention, détection active et réponse coordonnée demeure la plus robuste face à ces campagnes.

Questions fréquentes

Quels signaux rapides permettent de repérer un faux avis de livraison dans la boîte mail?

Vérifier l'adresse d'expédition réelle, survoler le lien pour afficher la destination, regarder l'âge du domaine lié au lien et se méfier des demandes de paiement ou de connexion. Les URLs avec tokens opaques et des redirections multiples sont des signaux forts de suspicion.

Le cadenas TLS signifie-t-il que la page est sûre?

Non. Le cadenas indique seulement que la connexion est chiffrée. Des domaines malveillants obtiennent facilement des certificats valides; il faut croiser d'autres indicateurs comme le WHOIS, la chaîne de redirections et le contenu du formulaire³.

Que faire si un employé a entré ses identifiants sur une page frauduleuse?

Révoquer immédiatement les accès concernés, forcer le reset des mots de passe, activer ou renforcer le MFA pour le compte, et lancer une investigation pour évaluer l'étendue de la compromission et détecter d'éventuels mouvements latéraux.

Les solutions de filtrage de mails bloquent-elles ce type d'attaque?

Elles bloquent une partie des campagnes, mais la rotation de domaines, l'obfuscation et l'usurpation via services légitimes réduisent l'efficacité. Une stratégie en couches est nécessaire: filtrage, sandboxing, inspection d'URL en temps réel et formation des utilisateurs.

Comment signaler ces campagnes pour protéger d'autres organisations?

Collecter les indicateurs (objet, domaine, URL, en-têtes) et les transmettre au CERT interne, au CERT-FR ou à la plateforme sectorielle appropriée. Le partage accélère le blocage des domaines et la prise de mesures par les registres et les hébergeurs².

Sources

Lire la suite