Campagne de phishing ciblant les utilisateurs de Zimbra

Des tentatives de vol d'identifiants ciblent les comptes e-mail sur la plateforme Zimbra.

Depuis le mois d’avril 2023, des attaques d’hameçonnage ont été recensées, visant les comptes de messagerie utilisant la plateforme Zimbra. Des courriels sont massivement envoyés aux utilisateurs, dans le but de leur soutirer leurs identifiants.

Le point commun de ces courriels réside dans l’inclusion d’une URL renvoyant vers un formulaire en ligne, souvent orné du logo Zimbra, sollicitant les informations d’identification des destinataires.

Les pirates ciblent principalement les pays européens où Zimbra est largement utilisé, en rédigeant des messages dans les langues spécifiques de ces pays. Bien que certaines de ces communications soient filtrées par les anti-spam, des variantes parviennent à échapper à cette protection.

Les messages sont diversifiés et évoquent différents scénarios, tels que :

  • Notification d’une adresse e-mail n’ayant pas réussi le processus de vérification ou de mise à jour
  • Alerte sur un quota dépassé ou un espace de stockage faible
  • Menace de suppression du compte en l’absence d’action de la part de l’utilisateur
  • Incitation au changement du mot de passe pour des raisons de sécurité ou autres
  • Signalement d’un changement d’URL de la page de connexion au webmail

La plateforme Open2mail aussi concernée

La plateforme Open2mail n’est pas épargnée par cette campagne de phishing. Comme de nombreuses grandes plates-formes utilisant Zimbra, nos clients sont également la cible de ces attaques. Bien que nos systèmes parviennent à stopper ou classer en tant que spam un grand nombre de courriels frauduleux, quelques-uns réussissent à échapper à notre vigilance en raison de l’intensité des attaques.

Si vous recevez des courriels concernant Zimbra ou votre adresse e-mail, avec un lien ou une URL vers un formulaire en ligne vous demandant vos identifiants, assurez-vous que l’URL appartienne au domaine open2mail ou à la page personnalisée de votre webmail avant de saisir vos informations d’identification.

En cas de doute, veuillez :

En cas de doute :

  • Vérifier que l’adresse de l’émetteur du mail fini bien par @exoca.fr.
  • Vérifier l’url de la page où vous saisissez vos identifiants. 
  • N’utiliser vos identifiants que sur des pages web telles que votre webmail ou des services associés au domaine open2mail.fr, comme notre drive.

En cas de suspicion, veuillez vous référer aux référents de votre entreprise ou contacter directement Exoca.

Si vous pensez avoir été victime d’un de ces courriels de phishing, veuillez contacter rapidement Exoca.

Catégories

Success Stories

Aller au contenu principal