Voici un rappel opportun que le courrier électronique n’est pas le seul vecteur d’attaques de phishing : plusieurs agences gouvernementales nationales et locales américaines ont signalé avoir reçu des lettres étranges par courrier postal contenant des disques compacts (CD) contenant des logiciels malveillants apparemment envoyés de Chine, a appris BreachTrace.
Cette ruse particulière, bien que grossière et simpliste, nourrit la curiosité des destinataires qui peuvent être incités à insérer le CD dans un ordinateur. Selon une alerte non publique partagée avec les agences gouvernementales nationales et locales par le Centre de partage et d’analyse d’informations multi-États (MS-ISAC), l’escroquerie arrive dans une enveloppe portant le cachet de la poste en chinois et comprend une « lettre dactylographiée rédigée de manière confuse avec des caractères chinois occasionnels ».
Plusieurs agences gouvernementales d’État et locales américaines ont signalé avoir reçu cette lettre, qui comprend un CD contenant des logiciels malveillants. Copyright des images Sarah Barsness.
Le MS-ISAC a déclaré que l’analyse préliminaire des CD indique qu’ils contiennent du mandarin Microsoft Word (.doc), dont certains contiennent des fichiers malveillants Visual Basic scripts. Jusqu’à présent, les archives d’État, les sociétés historiques d’État et un département d’État des affaires culturelles ont tous reçu des lettres qui leur sont spécifiquement adressées, indique le MS-ISAC. Il n’est pas clair si quelqu’un de ces agences a été amené à insérer le CD dans un ordinateur du gouvernement.
Je suis sûr que de nombreux lecteurs pourraient penser à des moyens astucieux de rendre cette apparente campagne de phishing par courrier électronique plus efficace ou plus crédible, comme inclure de minuscules clés USB au lieu de CD, ou au moins une lettre plus personnalisée qui ne ressemble pas à il a été conçu par quelqu’un qui ne maîtrise pas la langue anglaise.
Néanmoins, des attaques comme celle-ci nous rappellent que la cybercriminalité peut prendre de nombreuses formes. La première des 3 règles de base de breachtrace pour la sécurité en ligne — « Si vous n’êtes pas allé le chercher, ne l’installez pas » — s’applique tout aussi bien ici : si vous n’êtes pas allé le chercher, ne l’insérez pas ou ouvrez-le.