Une campagne de rappel pour la réinitialisation du mot de passe sur Amazon exploite l'infrastructure de notification légitime
7 avril 2026
Par Ankit Gutpa, Andrew Gosney, Hiwot Mendahun, Samantha Clarke et l'équipe de recherche sur les menaces de Mimecast
- Au cours des trois premières semaines de mars, des cybercriminels ont envoyé environ 67 000 messages de rappel en utilisant de véritables notifications d'Amazon relatives à la récupération de mot de passe.
- Cette campagne exploite l'infrastructure légitime d'Amazon SES à l'aide d'une authentification DKIM valide
- La chaîne de transmission via Proton et Microsoft 365 SRS a permis de diffuser un single message à des milliers de destinataires
Présentation de la campagne
En mars 2026, l'équipe Mimecast Threat Research a identifié une campagne de phishing par rappel téléphonique qui exploitait le système de notification de récupération de mot de passe d'Amazon. Contrairement au phishing traditionnel, qui repose sur des domaines similaires ou des attaques par lien, cette campagne a exploité l'infrastructure légitime d'Amazon pour diffuser à grande vitesse des messages d'ingénierie sociale inspirant une grande confiance. Des cybercriminels ont pris le contrôle d'un compte Amazon utilisé pour déclencher des notifications de récupération de mot de passe et ont injecté du contenu malveillant, notamment des instructions invitant à rappeler un numéro de téléphone, dans les champs « nom d'utilisateur » figurant dans le modèle de notification. Résultat : les messages passent tous les contrôles d'authentification et s'affichent comme de véritables communications d'Amazon.
L'appât : une urgence artificielle
Les destinataires ont reçu ce qui semblait être une alerte légitime indiquant que quelqu'un avait demandé une réinitialisation du mot de passe de leur compte Amazon. Plutôt que d'intégrer un lien malveillant, le message créait un sentiment d'urgence autour d'un numéro de téléphone, en invitant les destinataires à appeler s'ils n'avaient pas demandé cette réinitialisation.
Ce modèle de rappel détourne délibérément l'attaque des contrôles de sécurité des e-mails et des systèmes d'évaluation de la réputation des URL pour la diriger vers les canaux vocaux, où la vérification est plus difficile et où les imposteurs peuvent adapter leur approche en temps réel. Lorsqu'il est associé à un modèle Amazon authentifié, le niveau de confiance des destinataires augmente considérablement.
Déroulement technique : le transfert comme moyen d'amplification
L'ampleur et la rapidité de la campagne résultaient d'une chaîne de transmission à plusieurs sauts qui a transformé un message accepté en une diffusion massive :
- Créer un compte Amazon : l'auteur de la menace crée un compte Amazon en utilisant une adresse e-mail de groupe Proton Mail et un nom d'utilisateur tel que [Pas vous ? Appelez dès maintenant au : 1-(805) 334 9416]. C'est cette manipulation du nom d'utilisateur qui permet aux notifications automatisées d'inclure le contenu malveillant mis en place par l'auteur de la menace.
- Récupération du mot de passe : une fois le compte Amazon créé, l'auteur de l'attaque lance une procédure de récupération du mot de passe.
- Envoi initial de la notification : la notification de récupération du mot de passe est envoyée à l'adresse de groupe Proton Mail, avec le nom d'utilisateur falsifié figurant dans la notification. Cet e-mail est envoyé par le service de notification officiel d'Amazon et contient tous les en-têtes d'authentification (SPF, DKIM et DMARC) provenant des services d'Amazon.
- Transfert via Proton : les e-mails envoyés à l'adresse du groupe Proton Mail sont ensuite transférés vers un tenant Microsoft 365 appartenant à l'acteur malveillant ou compromis par celui-ci, et comprenant un certain nombre de destinataires externes.
- Amplification Microsoft : lorsque Microsoft reçoit le message transféré et entièrement authentifié, il le prépare en vue de sa distribution à la liste finale de destinataires externes. Ces campagnes utilisent le service SRS (Sender Rewrite Scheme) de Microsoft, qui modifie l'expéditeur figurant dans l'enveloppe, faisant ainsi de Microsoft l'expéditeur officiel et ajoutant ses propres mécanismes d'authentification valides (SPF/DKIM) afin de garantir la livraison. Les en-têtes contiennent également l'authentification d'Amazon, qui est intacte.
- Diffusion externe : les systèmes des destinataires externes vérifieront alors l'authentification de l'e-mail. L'adresse d'expéditeur visible serait l'adresse e-mail officielle d'Amazon. Toutefois, l'adresse figurant sur l'enveloppe serait une adresse associée à Microsoft, telle que [bounces+srs=v1zju=bn@[customer].onmicrosoft.com] et, grâce à une authentification valide fournie par Microsoft via SRS, il serait identifié, ce qui permettrait à cet e-mail de passer tous les contrôles d'authentification.
Cette amplification s'appuyait sur le « Sender Rewriting Scheme » (SRS), un mécanisme légitime de transfert d'e-mails. Lorsqu'un e-mail est transféré, l'expéditeur figurant dans l'en-tête d'origine est souvent modifié, de sorte que les échecs de livraison sont signalés au système de transfert plutôt qu'à l'expéditeur en amont. Utilisé à bon escient, le SRS permet d'assurer un bon fonctionnement du flux de courriers électroniques via les listes de diffusion. Dans ce scénario d'abus, un concentrateur qui reçoit un message peut le transmettre à de nombreux destinataires en quelques secondes, chaque étape de transmission pouvant présenter des métadonnées d'expéditeur modifiées. Vous trouverez ici des informations complémentaires sur le service SRS de Microsoft.
Pourquoi l'authentification ne suffit pas
Cette campagne met en évidence une lacune majeure dans la compréhension de la sécurité des e-mails. Des signatures DKIM solides et des domaines alignés permettent de confirmer l'identité de l'expéditeur du courriel ; elles ne valident pas chaque mot du corps du message. Lorsqu'un service autorise l'insertion de texte fourni par l'utilisateur dans un e-mail généré par le système, ce texte devient un contenu contrôlé par un pirate au sein d'une enveloppe hautement fiable. Pour les défenseurs, la leçon est claire : les mécanismes d'authentification permettent de déterminer la provenance d'un message, et non sa sécurité. Les organisations doivent associer l'analyse comportementale, l'inspection du contenu et la sensibilisation des utilisateurs aux protocoles d'authentification.
Rappel aux victimes
L'objectif principal de ces campagnes est d'inciter les victimes à appeler le numéro de téléphone indiqué dans les notifications. Une fois le contact établi, les cybercriminels peuvent recourir à des techniques avancées d'ingénierie sociale pour exploiter la victime. Ces tactiques peuvent notamment inclure :
- Convaincre les utilisateurs de télécharger des outils de surveillance et de gestion à distance (RMM).
- Rediriger les utilisateurs vers des sites web malveillants.
- Extraction d'informations personnelles sensibles.
- Contraindre les utilisateurs à effectuer des paiements frauduleux.
Ces campagnes de rappel téléphonique sont extrêmement dangereuses, car elles contournent les mesures de sécurité traditionnelles liées aux e-mails en transférant l'attaque vers des canaux vocaux, où la vérification s'avère plus difficile.
Indicateurs de compromission (IOC)
En-tête « Adresse e-mail » - (adresses d'envoi légitimes des notifications Amazon)
account-update@amazon[.]com
account-update@amazon[.]co[.]uk
Adresse e-mail du destinataire (en-tête)
updates_a_ccs@groups[.]proton[.]me
notifications_a_dd@groups[.]proton[.]me
updates_a_bb@groups[.]proton[.]me
notifications_acc@groups[.]proton[.]me
updates_a_b@groups[.]proton[.]me
notifications_a_bb@groups[.]proton[.]me
notifications_a_b@groups[.]proton[.]me
membership-09293@groups[.]proton[.]me
user-09838@groups[.]proton[.]me
user-00837@groups[.]proton[.]me
notifications_a4@groups[.]proton[.]me
notifications_a3@groups[.]proton[.]me
notifications_a2@groups[.]proton[.]me
Matières
amazon.com : Récupération du mot de passe
amazon.com : Tentative d'accès aux données du compte
Objectifs
Axe géographique : les campagnes ont fait l'objet d'un ciblage dans plusieurs régions, avec une forte concentration aux États-Unis.
Secteurs d'activité : dans de nombreux secteurs, on observe des niveaux légèrement plus élevés dans les entreprises du secteur juridique et de l'industrie manufacturière.
Recommandations
- Sensibilisez vos collaborateurs aux spécificités de cette campagne et veillez à ce qu'ils appliquent les bonnes pratiques concernant les appels vers les numéros de téléphone figurant dans les e-mails non sollicités. Ils devraient plutôt se rendre directement sur le site officiel du prestataire de services ou utiliser les coordonnées déjà vérifiées.
- Recherchez dans les journaux des e-mails reçus les messages provenant d'Amazon et dont l'objet correspond à ceux indiqués
Considérations à long terme
Les organisations doivent prendre conscience que les services légitimes comportant des champs de contenu fournis par les utilisateurs constituent des vecteurs potentiels d'abus. Déterminez quels expéditeurs de confiance autorisent la personnalisation et informez les utilisateurs que l'authentification à elle seule ne garantit pas la sécurité. Alors que les acteurs malveillants continuent d’exploiter à des fins malveillantes des infrastructures légitimes, les stratégies de détection doivent évoluer : il ne suffit plus de se demander « "» (qui a envoyé ce message" ) ou « "» (à qui ce message a-t-il été envoyé), mais « quel est l’objectif de ce message ? »."
Gardez une longueur d'avance en matière de renseignements sur les menaces
Rejoignez les milliers de professionnels de la sécurité qui s'appuient sur nos alertes sélectionnées avec soin, nos analyses d'experts et nos indicateurs de compromission (IOC) liés aux campagnes pour se prémunir contre les dernières cybermenaces.
Inscription réussie
Merci de vous être inscrit pour recevoir nos notifications relatives aux informations sur les menaces.
Nous vous contacterons !