Campagne hameçonnage – Phishing contre les clients des banques marocaines

Une large campagne de Phishing ou hameçonnage dure depuis une semaine contre les clients des plus grandes banques marocaines : BMCI (Banque Marocaine du Commerce Intérieur ) , BMCE (Banque Marocaine du Commerce Extérieur ) , et le Crédit Agricole . Une campagne assez structurée mais avec des ratés de la part des attaquants et des banques, ce qui rend cette campagne un cas d’études.

Scénario de l’attaque :

1 – Les clients reçoivent des emails des fausses adresses suivantes :

  • BMCE : BMCE BANK [net@bmcebanksec.ma]
  • Credit Agricole : Credit Agricole [no-reply@cam-agricolebanque.ma]
  • BMCI : B N P [part@bmci.ma]

Mais qui sont en réalité envoyés de l’adresse : nobody@node.dikz.info.
la structure des e-mails que les clients ont reçus sont assez simple avec le texte et le lien : « Vous avez un nouveau message » .

2 – le client clique sur le lien , il est ensuite redirigé vers des pages créées dans différents sites piratées dont un en (https)

  • hxxps://globaltefl.uk (point) com / page frauduleuse
  • hxxp://peliculas1link (point) net / page frauduleuse
  • hxxp://www.msautotrade (point) com / page frauduleuse
  • hxxp://www.euro-sofa.com.ua/ page frauduleuse

les pages affichées sont des pages fraichement copiées des sites de banques , très peu de différence existe entre les pages originales et les pages utilisées pour l’attaque ,

quelques image copiées en local sur le site piraté ainsi que les pages d’ authentification qui ont été échangées par des pages locales en php .

Ratées de cet épisode de phishing :

1  – Le Crédit Agricole dans un manque de jugement absolu a envoyé un email d ‘avertissement à tous ces clients avec le lien vers le site du phishing cliquable ce qui est absurde .

L’utilisateur marocain moyen a un niveau de connaissance informatique et de français discutable , il va cliquer sur le lien envoyé par la banque soit par erreur ou inadvertance , ce qui rend la campagne de phishing encore plus efficace et plus ciblée .

2 – Les attaquants ont envoyé aux même adresses et en même temps les liens frauduleux pour les trois banques, qui ne peut qu’éveiller les soupçons des utilisateurs et rendre l’attaque inefficace , en plus les attaquants ont gardé les trackers Google sur les pages copiées , ce qui permet aux banques de trouver facilement les pages et l’adresse ip des attaquants s’ils ont testé les pages dans leur poste local ou voir le premier utilisateur qui a accédé à la page .

Cette campagne confirme l’intérêt des cybercriminels aux banques et clients marocains qui ne sont pas armés pour faire fasse à des campagnes de phishing ou d’autres types d’attaques , et les rend donc très vulnérables , ce qui  doit pousser les banques à faire plus des campagnes de sensibilisation (efficaces) .

Laisser un Commentaire