TriNet a envoyé aux travailleurs distants un courrier électronique que certains considéraient comme une attaque de phishing – TechCrunch

C’était l’un des meilleurs emails de phishing que nous ayons vu… ce n’était pas le cas.

Le phishing reste l’un des choix d’attaque les plus populaires pour les fraudeurs. Les e-mails de phishing sont conçus pour emprunter l'identité de sociétés ou de dirigeants afin d'inciter les utilisateurs à divulguer des informations sensibles, généralement des noms d'utilisateur et des mots de passe, afin que les fraudeurs puissent se connecter aux services en ligne et voler de l'argent ou des données. Mais détecter et prévenir le phishing n’est pas seulement un problème d’utilisateur – c’est aussi un problème d’entreprise, surtout lorsque les entreprises ne prennent pas les précautions de base en matière de cybersécurité et les meilleures pratiques pour empêcher les fraudeurs d’entrer dans la boîte de réception des utilisateurs.

Enter TriNet, un géant des ressources humaines, est devenu cette semaine le grand défenseur de la façon de créer un véritable courrier électronique à ses clients qui paraissait par mégarde aussi suspect.

Les employés distants d’entreprises aux États-Unis qui comptent sur TriNet pour avoir accès à des ressources humaines externalisées, telles que leurs prestations de soins de santé et leurs politiques en milieu de travail, ont reçu un courrier électronique cette semaine dans le but de tenir les employés «informés et au courant des dernières nouvelles». législation du travail et de l’emploi qui vous concerne. "

Les travailleurs d’une startup de la santé basée à Los Angeles, qui gère ses avantages sociaux par l’intermédiaire de TriNet, ont tous reçu le courrier électronique en même temps. Mais un employé n’était pas convaincu qu’il s’agissait d’un vrai courrier électronique et l’a transmis – ainsi que son code source – à TechCrunch.

TriNet est l’un des plus importants fournisseurs de ressources humaines externalisés aux États-Unis, principalement pour les petites et moyennes entreprises qui n’ont peut-être pas les fonds nécessaires pour engager du personnel spécialisé dans les ressources humaines. Et cette période de l’année est cruciale pour les entreprises qui dépendent de TriNet, car les régimes d’assurance maladie commencent à s’inscrire et la saison des impôts n’est que dans quelques semaines. Compte tenu de l’évolution des avantages, il n’est pas rare que les employés reçoivent une multitude de courriels liés à TriNet vers la fin de l’année.

Mais cet email n’avait pas l’air bon. En fait, lorsque nous avons regardé sous le capot du courrier électronique, tout semblait suspect.

C'est le courrier électronique que les travailleurs distants ont reçu. TriNet a déclaré que l'utilisation d'une image hébergée dans Imgur dans le courrier électronique avait été utilisée «par erreur». (Image: TechCrunch / fourni)

Nous avons examiné le code source de l'e-mail, y compris ses en-têtes. Ces en-têtes de courrier électronique ressemblent à une enveloppe: ils indiquent l’origine d’un courrier électronique, à qui il est adressé, comment il a été acheminé et s’il existe des complications, comme le marquage comme courrier indésirable.

Il y avait plus de drapeaux rouges que nous ne pouvions compter.

Parmi les principaux problèmes, le logo TriNet dans le courrier électronique était hébergé sur Imgur, un site gratuit d’hébergement d’images et de partage de fichiers, et non sur le site Web de la société. C’est une technique courante parmi les attaquants d’hameçonnage: ils utilisent Imgur pour héberger les images qu’ils utilisent dans leurs spams pour éviter leur détection. Depuis que l'image a été téléchargée en juillet, ce logo a été vu plus de 70 000 fois jusqu'à ce que nous contactions TriNet, qui l'a supprimée, ce qui laisse supposer que des milliers de clients TriNet ont reçu l'un de ces courriels. Et, bien que l'e-mail contienne un lien vers un site Web TriNet, la page chargée affichait un domaine entièrement différent. Rien ne laissait supposer qu'il s'agissait d'un véritable site autorisé par TriNet, outre un logo, qui aurait pu être un site de phishing. été facilement usurpé.

Craignant que des fraudeurs aient envoyé un courrier électronique de phishing à des milliers de clients TriNet, nous avons contacté le chercheur en sécurité John Wethington, fondateur de la société de sécurité Condition: Black, pour examiner le courrier électronique.

Il s'est avéré qu'il était aussi convaincu que le courrier électronique était peut-être un faux.

«En tant que hackers et ingénieurs sociaux auto-proclamés, nous pensons souvent qu’il est« facile de détecter un email de phishing », a déclaré Wethington. "La vérité est que c'est difficile."

«Lorsque nous avons examiné le courrier électronique pour la première fois, chaque sonnerie d'alarme était déclenchée. Plus nous y avons plongé, plus les choses ont été confuses. Nous avons examiné les enregistrements de noms de domaine, le code source du site et même les hachages de pages Web », a-t-il déclaré.

Il n’ya rien, dit-il, qui nous ait procuré une «confiance à 100%» quant à la véracité du site jusqu’à ce que nous contactions TriNet.

La porte-parole de TriNet, Renee Brotherton, a confirmé à TechCrunch que la campagne de courrier électronique était légitime et qu'elle utilisait le site tiers "pour notre offre de service de conformité ePoster. Elle a ajouté: «L'image Imgur que vous avez mentionnée est une image du logo TriNet que Poster Elite a désigné par erreur et qui a été supprimée depuis."

«Le courriel que vous avez mentionné a été envoyé à tous les employés qui ne se rendent pas dans l’espace physique de travail d’un employeur pour assurer leur accès aux avis requis», a déclaré le porte-parole de TriNet.

Une fois atteint, Poster Elite a également confirmé que le courrier électronique était légitime.

Ce n'est pas un site de phishing, mais il en a l'air. (Image: TechCrunch)

Comment TriNet a-t-il si mal compris? Certains des destinataires de l'e-mail craignaient que leurs informations aient été violées.

«Lorsque les entreprises communiquent avec leurs clients de la même manière que les escrocs, cela peut affaiblir sa capacité à détecter et à supprimer les menaces à la sécurité dans les communications futures», a déclaré Rachel Tobac, pirate informatique, ingénieur social et fondateur de SocialProof Security.

Tobac a cité deux exemples de cas où TriNet s'est trompé. Tout d’abord, il est facile pour les pirates informatiques d’envoyer des courriels usurpés aux employés de TriNet car la stratégie DMARC de TriNet sur son nom de domaine n’est pas appliquée.

Deuxièmement, l'utilisation incohérente des noms de domaine est source de confusion pour l'utilisateur. TriNet a confirmé avoir indiqué le lien dans l'e-mail – posters.trinet.com – à eposterservice.com, qui héberge les affiches de conformité de la société pour les travailleurs distants. TriNet pensait que la transmission du domaine suffirait, mais nous pensions plutôt que quelqu'un avait détourné les paramètres de nom de domaine de TriNet – un type d'attaque en augmentation, même si elle était principalement menée par des acteurs étatiques. TriNet est une cible énorme: elle stocke les avantages sociaux des travailleurs, les détails de la paie, des informations fiscales et plus encore. Nous avions supposé le pire.

«Cela ressemble à un problème que nous voyons avec les communications téléphoniques en cas de fraude bancaire», a déclaré Tobac. «Les spammeurs appellent les clients de la banque, usurpent le numéro de la banque et se font passer pour une banque. Les clients doivent donner les détails de leur compte pour« vérifier leur compte »avant d’entendre parler de la fraude que la banque a constatée sur leur compte – ce qui, bien sûr, est une attaque. ," elle a dit.

«C’est étonnamment exactement ce à quoi ressemble un appel légitime lorsque la banque appelle véritablement pour vérifier des transactions frauduleuses», a déclaré Tobac.

Wethington a noté que les autres indicateurs suspects étaient toutes des techniques utilisées par les fraudeurs lors d'attaques de phishing. le posters.trinet.com Le sous-domaine utilisé dans le courrier électronique n’a été mis en place que quelques semaines auparavant, et le eposterservice.com Le domaine qu’il désignait utilisait un certificat HTTPS qui n’était associé ni à TriNet ni à Poster Elite.

Celles-ci soulèvent toutes un problème majeur. TriNet a peut-être envoyé un courrier électronique légitime, mais tout semblait problématique.

D'une part, être vigilant vis-à-vis des emails entrants est une bonne chose. Et même si c’est un jeu de chat et de souris pour échapper aux attaques de phishing, les entreprises peuvent prendre certaines mesures pour se protéger de manière proactive, ainsi que pour leurs clients, contre les escroqueries et les attaques de phishing. Et pourtant, TriNet a échoué à presque tous les égards en s’ouvrant aux attaques en ne faisant pas appel à ces mesures de sécurité élémentaires.

"Il est difficile de distinguer le bon du mauvais, même avec un entraînement approprié, et en cas de doute, je vous recommande de le jeter", a déclaré Wethington.

Traduit de la source : https://techcrunch.com/2019/11/17/trinet-email/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.