Symantec livre une intéressante analyse d’une opération de social engineering qu’il a baptisé « Operation Francophoned ». L’arnaque est ainsi nommée car elle est menée en français (mais à l’échelle internationale) et que les criminels se font passer au téléphone pour un opérateur téléphonique français afin de convaincre la victime d’installer un malware sur son poste de travail.

Le point intéressant à retenir est que l’opération s’exécute en deux phases. D’abord un employé au sein d’une entreprise reçoit par email une fausse facture à régler semblant provenir d’un opérateur téléphonique français.

Le courrier est un phishing ciblé : les auteurs ont pris le temps d’étudier l’environnement de l’entreprise afin de rendre leur courrier crédible. Bien entendu, la « facture » est en réalité un exploit destiné à installer un code malveillant sur l’ordinateur de la victime.

Si cette dernière n’ouvre pas le courrier, les criminels l’appellent alors ensuite au téléphone et utilisent les techniques habituelles d’ingénierie sociale (probablement mise sous pression, urgence, référence à la hiérarchie…) afin de convaincre la victime d’ouvrir le courrier et d’exécuter la pièce jointe.

Initialement les pirates utilisaient le cheval de Troie Blackshade pour leur infection (daté de 2011…), mais il semble qu’ils soient désormais passés à Rokamal, bien plus récent (référencé par Symantec il y a moins d’une semaine)

Les secteurs les plus touchés par Operation Francophoned sont l’enseignement et le gouvernement (24% des attaques identifiées) suivies de  la recherche (14%) puis de l’industrie et l’énergie (7%)