Des adresses qui ressemblent à des URL de sites web légitimes existent partout, mais certaines d’entre elles ne feront plus de dégâts : grâce à un procès, Microsoft a réussi à obtenir le contrôle de plus de 50 domaines et adresses IP qui étaient utilisés pour le phishing et d’autres actions malveillantes.
La plupart de ces adresses ressemblent à des URL de sites Microsoft ou renvoient à des services d’entreprises. Parmi eux figurent des domaines comme hotrnall.com, office356-us.org et rnicrosoft.com.
Selon l’entreprise, les domaines malveillants étaient aux mains de Thallium, un groupe de pirates informatiques qui aurait des liens avec la Corée du Nord. Les enquêtes indiquent que le groupe avait plusieurs cibles, telles que des membres de gouvernements, des responsables d’universités et des membres d’organisations de défense des droits de l’homme.
Toujours selon Microsoft, les cibles étaient principalement des personnes travaillant dans des institutions basées en Corée du Sud, aux États-Unis et au Japon.
En gros, le groupe de pirates a envoyé des messages de phishing qui passaient pour des services de Microsoft ou d’autres sociétés comme Yahoo (exemple : inbox-yahoo.com) et Google (exemple : maingoogle.com).
Les cibles qui ne comprenaient pas le piège étaient susceptibles de saisir des informations sensibles sur un faux site web (comme un identifiant et un mot de passe de compte de messagerie) ou de télécharger des logiciels malveillants, par exemple.
Il peut sembler surprenant que quelqu’un ne comprenne pas l’adresse trompeuse, mais remarquez l’exemple ci-dessous qui montre que, dans certains cas, le domaine est très similaire à l’original.
Microsoft a surveillé le Thallium pendant des mois et, le 18 décembre 2019, a intenté une action en justice devant un tribunal de Virginie pour prendre le contrôle des quelque 50 adresses malveillantes identifiées dans le cadre de l’enquête et rendre difficile le fonctionnement du Thallium. La réponse a été rapide : peu après Noël, les autorités américaines ont émis une ordonnance du tribunal qui répondait à la demande de la société.
Pour cette raison, Microsoft a abandonné les adresses en question et les gardera inactives. Mais il est évident que cette mesure ne résout pas à elle seule le problème du phishing. Se méfier des liens dans les courriels, utiliser un gestionnaire de mots de passe et/ou permettre une authentification en deux étapes restent des mesures préventives obligatoires.
