L'objet du mail est "Coronavirus : Informations importantes sur les précautions", contient une pièce jointe Word (doc) et un texte générique vous invitant à lire le document. En fait, il n'y a pas d'informations utiles pour prendre des précautions contre virus du COVID-19, n'est qu'une tentative de phishing, c'est-à-dire une tentative de arnaque informatique basée sur l'ingénierie sociale.
La communication est organisée, et non via une traduction automatique, comme cela arrive souvent dans ces cas. Le message est signé par tel Dr Pénélope Marchetti (Organisation Mondiale de la Santé). Ces précautions rendent la supercherie non immédiatement identifiable. Heureusement, une recherche rapide sur Google suffit pour s'assurer qu'aucun professionnel de la santé ne porte ce nom à laOMS.
De son côté, l'agence onusienne a fourni sur son site des informations utiles pour se défendre et tenter d'endiguer le problème. Ce sont des recommandations de bon sens et un minimum de "techniques". Les e-mails d'origine douteuse ou simplement « suspects » doivent être soigneusement examinés avant d'entreprendre toute action qui sortirait l'utilisateur du contexte du message spécifique reçu.
Tout d'abord, vous devez vérifier lel'adresse de l'expéditeur. Deuxièmement, vous devez vous demander si le domaine référent existe vraiment ou s'il s'agit simplement d'un domaine qui « sonne bien ». Ici aussi date et heure d'envoi peut être le signe d'une contrefaçon probable. La plupart des logiciels qui permettent d'envoyer des "faux mails", ne sont pas capables de tromper les horloges internes des serveurs à moins qu'ils ne signalent des heures improbables comme 00:00 ou 24:00 exactement. Dans le cas de l'OMS, le domaine spécifique est "@who.int". Si l'e-mail de l'expéditeur n'inclut pas ce domaine, le message ne provient pas de WHO.
Parfois les liens indiqués sont en fait les bons ou ceux que l'on s'attendrait à trouver, mais ce sont des faux, ce sont des adresses "de façade". En cliquant sur les URL proposées, si vous n'observez pas ce qui se passe dans la barre d'adresse de votre navigateur, vous pourriez être redirigé vers d'autres sites qui n'ont rien à voir avec ceux utilisés comme écrans. En cas de doute s'il s'agit d'un redirections frauduleuses, notez simplement l'adresse et réécrivez-la à la main dans le navigateur. C'est la procédure la plus sûre et sans risque.
Une procédure qui nécessitesaisie d'informations les données personnelles confidentielles ou autrement sensibles transmises par e-mail sont pour le moins suspectes. Les cybercriminels utilisent les urgences pour amener les gens à agir de manière impulsive et sans réfléchir. La psychose pourrait conduire à sous-estimer certains aspects qui, la tête froide, inciteraient quiconque à s'abstenir de suivre une voie aussi peu orthodoxe pour s'assurer de la état de santé et informations publiques.
Dans tous les cas, même si vous êtes tombé dans le piège, il convient de ne pas paniquer, mais de procéder au plus vite changer toutes les informations d'identification liés aux données fournies.
En entrant dans les détails techniques, l'infection est un malware caché dans une archive JavaScript cryptée (JSE), de la famille "ostapp", c'est-à-dire les virus qui parviennent à agir comme des téléchargeurs de fichiers (téléchargement). Après avoir collecté les données informatiques de la victime, le virus termine son travail en envoyant les fichiers vers des serveurs qui n'ont pas de nom de domaine et qui sont difficilement traçables. Très probablement, l'action combinée du phishing, associée à celle des logiciels malveillants, ne fait qu'alimenter le plus classique des bases de données avec les noms, prénoms, adresses IP et autres informations d'internautes sans méfiance. Ces prélèvements, apparemment inoffensifs, ont une valeur en web sombre, la partie non indexée par les moteurs de recherche classiques, mais ensuite ils sont exploités pour des arnaques ciblées et autres activités illégales.
