Check Point Research alerte sur une vaste campagne d’hameçonnage visant les plateformes de partage de fichiers et de signature électronique. Plus de 40 000 courriels malveillants, usurpant des services comme SharePoint, eSignDoc et DocuSign, ont ciblé plus de 6 000 entreprises dans le monde, avec des méthodes de redirection de liens toujours plus sophistiquées.
L’adoption massive des plateformes numériques pour la gestion documentaire et la validation de transactions transforme les usages professionnels, tout en ouvrant la voie à de nouvelles stratégies d’escroquerie. Les services de signature électronique et de partage de fichiers, omniprésents dans la finance, le conseil et l’immobilier, deviennent aujourd’hui les vecteurs privilégiés de campagnes d’hameçonnage ciblant les organisations les plus exposées aux flux contractuels et financiers.
La multiplication de ces attaques met en lumière la capacité des cybercriminels à détourner les infrastructures de confiance, à exploiter les mécanismes de sécurité légitimes pour renforcer l’apparence de leurs messages frauduleux et à adapter leurs techniques selon les filières et secteurs ciblés. L’analyse de Check Point dévoile l’ampleur et la diversité des opérations, mais aussi la sophistication des outils de dissimulation employés, qui complexifient la détection pour les services de sécurité informatique comme pour les utilisateurs finaux.
Les équipes de Check Point Research ont identifié une campagne d’hameçonnage exploitant la fonction de réécriture sécurisée de liens de Mimecast Protect pour contourner les filtres et tromper la vigilance des destinataires. En transitant par une URL réputée sûre, les courriels frauduleux imitent les notifications authentiques de plateformes telles que SharePoint ou eSignDoc.
Une variante encore plus furtive grâce à la redirection tokenisée
Cette stratégie d’usurpation s’appuie sur l’intégration d’éléments visuels officiels – logos, en-têtes, boutons d’action – ainsi que sur la manipulation des noms d’affichage, afin de simuler au plus près les messages des véritables services. Le recours à la redirection via Mimecast permet aux attaquants de renforcer la confiance tout en dissimulant la nature réelle du lien, augmentant ainsi la probabilité que l’utilisateur clique sans méfiance.
En parallèle de la campagne principale, une variante ciblant DocuSign a été observée, reposant sur un mécanisme de redirection complexe. Les liens frauduleux transitent d’abord par Bitdefender GravityZone, puis par le système de suivi des clics d’Intercom, la destination finale étant intégralement masquée derrière un jeton de redirection. Cette technique rend l’URL malveillante indétectable pour la plupart des outils de filtrage et d’analyse, accroissant la difficulté pour les victimes potentielles d’identifier l’arnaque. Selon Check Point, ce mode opératoire démontre un niveau de sophistication supplémentaire dans l’exploitation des chaînes de confiance, les attaquants adaptant sans cesse leurs méthodes pour contourner les barrières techniques et humaines.
Des secteurs d’activité fortement exposés aux risques d’usurpation
La campagne a principalement visé des organisations localisées aux États-Unis, en Europe, au Canada, dans la zone Asie-Pacifique et au Moyen-Orient. Les cibles privilégiées relèvent du conseil, des technologies, de la construction et de l’immobilier, mais les attaques se sont aussi étendues aux secteurs de la santé, de la finance, de l’industrie, des médias, des transports, de la logistique, de l’énergie, de l’éducation, du commerce de détail, de l’hôtellerie et du secteur public.
Les entreprises échangent régulièrement des contrats, factures et documents transactionnels, ce qui rend les campagnes d’hameçonnage par usurpation de services de signature électronique particulièrement crédibles et efficaces. Selon les données de télémétrie Harmony Email, plus de 40 000 messages malveillants ont ciblé environ 6 100 organisations en deux semaines, dont 34 000 aux États-Unis et plus de 4 500 en Europe.
Dissimulation par exploitation des redirections légitimes
L’analyse des flux de redirection montre que les attaquants privilégient l’encapsulation des liens frauduleux dans des services réputés fiables pour tromper à la fois les outils automatisés et les utilisateurs. Dans la campagne SharePoint/eSignDoc, la destination malveillante demeure partiellement visible mais noyée dans un flux légitime, tandis que la variante DocuSign recourt à une dissimulation complète de la cible via une chaîne de redirections sophistiquée. Cette adaptation continue des techniques traduit l’agilité des groupes cybercriminels à exploiter les failles humaines et organisationnelles dans les processus d’échange de documents, en profitant de la confiance accordée à des marques et infrastructures reconnues.
Si les campagnes d’hameçonnage ciblant les services de partage de fichiers et de signature électronique se multiplient, c’est avant tout en raison de la facilité avec laquelle il est possible de simuler des notifications authentiques et d’exploiter la routine numérique des organisations. L’alerte de Check Point souligne l’importance d’une vigilance accrue face à tout courriel contenant un lien cliquable, un contenu inattendu ou un expéditeur ambigu. La sensibilisation des équipes, le renforcement des filtres de sécurité et l’analyse contextuelle des messages demeurent des leviers essentiels pour limiter l’efficacité de ces attaques, qui évoluent en permanence pour contourner les défenses techniques et humaines.
Au-delà de la sophistication croissante des campagnes, ce sont les usages mêmes des services de signature électronique et de partage de fichiers qui se trouvent exposés. Les acteurs du marché devront donc conjuguer innovations technologiques, gouvernance des accès et acculturation des utilisateurs pour préserver la confiance dans ces outils désormais incontournables, sans alourdir les processus métiers ni freiner l’agilité organisationnelle.
