L’email de phishing est Roundcube Webmail – mandatory security patches un message frauduleux qui se fait passer pour Roundcube Webmail dans le but de voler les identifiants de leur compte email. Il affirme faussement que des correctifs de sécurité obligatoires et des mises à jour des protocoles d’authentification sont déployés et demande aux destinataires de revoir les paramètres de leur compte dans les 24 heures afin d’éviter de perdre l’accès à leurs boîtes aux lettres. La notification n’est pas envoyée par Roundcube et doit être ignorée.
L’e-mail est généralement présenté sous forme d’avis de sécurité automatisé avec l’objet « Action urgente requise ». Il informe les destinataires que leurs comptes e-mail nécessitent une attention immédiate car de nouvelles mesures de sécurité sont mises en place. Selon le message, ne pas finaliser la revue demandée avant la date limite peut entraîner une interruption de l’accès aux e-mails ou la perte des messages entrants. Ces affirmations sont fabriquées pour faire pression sur les bénéficiaires afin qu’ils agissent sans vérifier la légitimité de la notification.
Les destinataires sont invités à cliquer sur le bouton « Examiner les paramètres de l’e-mail » intégré dans l’email. Plutôt que de diriger les utilisateurs vers une page de connexion Roundcube légitime ou le portail webmail de leur hébergeur, le bouton ouvre un site de phishing conçu pour capturer les identifiants de connexion. Lors de l’analyse de cette campagne, la page de phishing a été découverte hébergée sur habitatcyprus.com, un site légitime qui avait été compromis et abusé pour héberger le formulaire de connexion frauduleux.
La page de connexion contrefaite demande l’adresse e-mail et le mot de passe du visiteur sous prétexte de compléter la mise à jour de sécurité requise. Entrer ces identifiants ne met pas à jour le compte ni n’installe de correctifs de sécurité. Au lieu de cela, les informations sont transmises directement aux attaquants à l’origine de la campagne de phishing.
Un compte email compromis peut révéler bien plus que de simples messages électroniques. Les attaquants qui obtiennent l’accès peuvent lire des conversations confidentielles, collecter des documents sensibles, rechercher des e-mails de réinitialisation de mot de passe, se faire passer pour le propriétaire du compte ou envoyer des messages de phishing supplémentaires depuis la boîte aux lettres compromise. Puisque les comptes email sont couramment utilisés pour récupérer l’accès à d’autres services en ligne, les identifiants volés peuvent également faciliter l’accès non autorisé à d’autres comptes associés à la même adresse e-mail.
Un détail important de cette campagne est qu’elle abuse du nom Roundcube pour paraître légitime. Roundcube est un logiciel de messagerie web open source installé et géré par des hébergeurs individuels. Ce n’est pas un service de messagerie autonome qui envoie aux utilisateurs des notifications de vérification de compte ou de mises à jour de sécurité. Le projet Roundcube a déjà averti les utilisateurs contre des campagnes de phishing qui utilisent son nom pour voler des identifiants.
Les assaillants s’appuient sur l’urgence tout au long du message. En imposant un délai de 24 heures et en avertissant d’une possible perte d’accès aux boîtes aux lettres, ils tentent de décourager les destinataires d’inspecter attentivement l’e-mail ou de confirmer de manière indépendante si la demande est authentique.
Toute personne ayant saisi les identifiants de connexion via la page de phishing liée dans l’email Roundcube Webmail – mandatory security patches de phishing doit immédiatement changer le mot de passe du compte concerné. Si le même mot de passe a été réutilisé ailleurs, ces comptes doivent également être sécurisés. Revoir l’activité du compte pour détecter les connexions non autorisées et mettre à jour les informations de récupération sont des étapes supplémentaires recommandées.
L’email complet de phishing Roundcube Webmail – mandatory security patches est ci-dessous :
Subject: Urgent Action Needed
Roundcube Webmail
Hello, –
We are rolling out mandatory security patches and authentication protocol updates to better protect your account from unauthorized access and potential data exposure.
Please review the new settings associated with – and complete the required updates.
To avoid any disruption to your email access or potential loss of messages, we kindly ask that you complete these changes within the next 24 hours.
[Review Email Settings]
Regards,
Admin Support Team.This message was generated –
Comment identifier des emails comme « Roundcube Webmail – mandatory security patches »
L’un des signes d’alerte les plus clairs est un courriel non sollicité affirmant que les correctifs de sécurité obligatoires doivent être appliqués via un bouton contenu dans le message. La gestion légitime du compte peut généralement être assurée en se connectant directement au portail officiel de messagerie web plutôt qu’en suivant les liens contenus dans des e-mails inattendus.
La destination des liens intégrés doit également être vérifiée. Dans cette campagne, le bouton « Examiner les paramètres de l’e-mail » mène à habitatcyprus.com, qui n’a aucun lien officiel avec Roundcube ou le fournisseur de messagerie du destinataire. Une page de connexion hébergée sur un domaine non lié est un indicateur fort de phishing.
Les destinataires doivent également se méfier des emails imposant des délais courts et menaçant de restrictions de compte, sauf si une action immédiate est prise. La création d’urgence artificielle est l’une des techniques d’ingénierie sociale les plus courantes utilisées dans les campagnes de phishing.
Un autre signal d’alerte est toute demande d’entrée d’identifiants de courriel après avoir suivi un lien reçu dans un message non sollicité. Les fournisseurs d’hébergement légitimes permettent généralement aux utilisateurs de gérer les paramètres de compte après avoir accédé manuellement au portail officiel de messagerie ou au tableau de bord d’hébergement du fournisseur.
La solution la plus sûre consiste à ignorer les liens contenus dans les notifications de sécurité inattendues et à aller directement vers la page officielle de connexion webmail fournie par la société d’hébergement de messagerie. Si aucune notification correspondante n’apparaît après la connexion, l’e-mail peut être considéré comme une tentative de phishing.