Alerte de sécurité – Campagne d’attaques informatiques en cours

Chers clients,

Nous souhaitons vous informer que plusieurs vagues d’attaques informatiques, ciblant notamment les PME (PMI) au Luxembourg, sont en cours et ont été identifiées par le CIRCL (Computer Incident Response Center Luxembourg) ces derniers mois.

Ces attaques utilisent des courriels frauduleux, usurpant de manière plus ou moins réaliste des interlocuteurs légitimes, dans plusieurs langues, y compris le Luxembourgeois.

 

Que se passe-t-il ?

Deux alertes distinctes ont été émises par le CIRCL ces derniers mois, portant les références TR-93 (26/02/2025) et TR-94 (22/05/25) sur le site du CIRCL (accessible via ce lien). Ces deux alertes sont toujours valides et les menaces correspondantes actives.

La première alerte (TR-93) est relative à une campagne qui vise en particulier à installer sur les ordinateurs des victimes des logiciels de prise en main à distance, permettant d’espionner discrètement les victimes et ainsi récupérer des informations utiles pour usurper l’identité de ces victimes, pour réaliser par la suite des transactions financières au profit des attaquants.

Il est important de noter qu’il peut se passer un temps assez long entre la contamination initiale et la réalisation de transactions financières frauduleuses car les attaquants peuvent prendre un certain temps à récolter toutes les informations utiles à l’usurpation d’identité de leurs victimes. Le fait que les logiciels de prise en main à distance utilisés sont des solutions commerciales pouvant être utilisées légalement, les solutions anti-virus peuvent ne pas détecter et/ou bloquer l’installation de ces derniers, ce qui rend la situation d’autant plus dangereuse.

La seconde alerte (TR-94) est relative à une campagne visant à voler les informations d’identifications des utilisateurs des environnements cloud Microsoft 365 pour lesquels l’authentification multi-facteurs n’a pas été mise en place.

Dans les deux cas, différents modèles de courriels en différentes langues, dont le luxembourgeois, sont utilisés, certains sont très ciblés et adaptés aux activités des victimes pour tromper leur vigilance.

 

Ce que vous devez savoir

Dans le cas d’une utilisation de pièce jointe, à son ouverture, le fichier demandera l’installation d’un module complémentaire frauduleux ou la connexion à un site internet frauduleux également. D’autres cas font référence à un fichier ne produisant aucun effet lorsqu’on tente de l’ouvrir mais qui lance en réalité l’installation, de manière invisible à l’utilisateur, des éléments utiles aux attaquants,

D’une manière générale, il est important de redoubler de vigilance à l’ouverture de pièces jointes dans les courriels reçus, ou avant de cliquer sur les liens internet présents dans ces courriels. Il faut toujours vérifier en détail si l’adresse électronique de l’expéditeur est cohérente avec le message et la signature pouvant être présente dans ce mail.

Enfin, il est très important de contre-vérifier toute demande d’information soi-disant urgente que vous recevriez. En effet, les attaquants utilisent souvent un message générant un sentiment d’urgence chez la victime en imitant une entité publique, un support informatique, un client ou un fournisseur en colère. Dans ce cas, il est vivement recommandé d’utiliser un autre canal de communication, un numéro téléphone récupéré sur une autre source comme un site internet officiel, ou déjà vérifié à la suite d’une relation établie, afin de vérifier l’authenticité d’une telle demande. Aucune entité ne peut par ailleurs vous demander une information secrète (code carte bancaire, mot de passe) ou un paiement immédiat uniquement par courriel, un sms ou via un appel téléphonique.

 

Que faire ?

Si vous avez rencontré une situation douteuse à la suite de la réception d’un courriel inhabituel, il est impératif d’agir rapidement :

1. Cessez immédiatement toute interaction avec l’expéditeur, fermer les pièces jointes douteuses ou les sites internet ouverts.
2. Contactez notre support au plus vite pour vérifier la sécurité de vos systèmes et prendre les mesures nécessaires (support@telkea.com | +352 42 83 83 800).
3. Si vous êtes autonomes pour le faire, changez immédiatement les mots de passe des comptes que vous auriez pu communiquer sur un site internet accédé depuis un courriel douteux et mettez à jour les outils de sécurité à votre disposition.

 

Soyez vigilant et pensez à votre sécurité

Votre sécurité est notre priorité, et nous restons à votre disposition pour toute question ou assistance supplémentaire. Telkea peut également répondre à vos besoins de sensibilisation ou vous accompagner à l’identification de vos besoins de sécurité.