Campagne de Phishing du ministère de l'Intérieur britannique visant les titulaires d'une licence de parrainage de visa
12 août 2025
Par Samantha Clarke, Hiwot Mendahun, Ankit Gupta et l'équipe de recherche sur les menaces de Mimecast
- Phishing campaign targeting UK sponsor licence holders through fraudulent Home Office impersonation
- Les pirates cherchent à s'emparer des identifiants du système de gestion des parrainages (SMS) à des fins d'exploitation financière et de vol de données
- Cette campagne utilise des URL protégées par un captcha et une usurpation convaincante de domaines gouvernementaux pour contourner les contrôles de sécurité
- Déroulement d'une attaque en plusieurs étapes, allant de la collecte d'identifiants à la monétisation des comptes et à l'exploitation de l'identité
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié une campagne de Phishing en cours visant des organisations britanniques disposant de privilèges de licence de parrainage, par le biais de techniques d'usurpation d'identité du Home Office. Cette campagne représente une menace importante pour le système d'immigration britannique, les pirates cherchant à compromettre l'accès au système de gestion des parrainages (SMS) afin de s'en servir à des fins d'exploitation financière et de données à grande échelle. Les auteurs de ces attaques envoient des e-mails frauduleux se faisant passer pour des communications officielles du Home Office ; ceux-ci sont généralement adressés à des adresses e-mail générales de l'organisation et contiennent des avertissements urgents concernant des problèmes de conformité ou la suspension de comptes. Ces messages contiennent des liens malveillants qui redirigent les destinataires vers de fausses pages de connexion par SMS, d'apparence très réaliste, conçues pour récupérer les identifiants et les mots de passe des utilisateurs.
Méthodologie d'attaque
Cette campagne suit une approche systématique qui commence par l'envoi d'e-mails de Phishing imitant fidèlement les notifications officielles du ministère de l'Intérieur. Les destinataires reçoivent des messages urgents leur signalant de nouvelles notifications par SMS ou des alertes système nécessitant une attention immédiate. Ces e-mails redirigent les utilisateurs vers des pages de connexion frauduleuses qui récupèrent leurs identifiants de connexion dès qu'ils les saisissent.
L'analyse technique révèle l'utilisation d'URL protégées par un captcha comme mécanisme de filtrage initial, suivie d'une redirection vers des pages de Phishing qui reproduisent fidèlement l'interface authentique des SMS. Les auteurs de ces attaques font preuve d'une connaissance approfondie des modes de communication des pouvoirs publics et des attentes des usagers au sein du système d'immigration britannique.
La page de Phishing est une réplique très convaincante de la page de connexion par SMS officielle du ministère de l'Intérieur britannique ; elle a été réalisée grâce à la copie directe du code HTML, à l'utilisation de liens directs vers des ressources officielles et à des modifications minimes mais cruciales apportées au processus d'envoi du formulaire.
- Page authentique
<form id="smslogin" method="post" action="j_security_check">
- Phishing Page
<form id="smslogin" method="post" action="sms.php">
Il s'agit là d'un signal d'alerte majeur, car cela indique que les identifiants sont transmis à un script contrôlé par un pirate plutôt qu'au système d'authentification légitime.
Stratégie de monétisation à des fins criminelles
Une fois les identifiants SMS compromis, les cybercriminels peuvent exploiter plusieurs voies de monétisation. Leurs principaux objectifs consistent notamment à vendre l'accès à des comptes piratés sur des forums du dark web, à faciliter la délivrance frauduleuse de certificats de parrainage (CoS) et à mener des opérations d'extorsion à l'encontre des organisations concernées.
L'exploitation la plus lucrative consiste à créer de fausses offres d'emploi et de faux programmes de parrainage de visas, les cybercriminels faisant payer à leurs victimes entre 15 000 et 20 000 £ pour des opportunités d'emploi inexistantes. Cette approche exploite les comptes piratés des parrains pour créer des documents de visa d'apparence légitime qui servent de base à des stratagèmes sophistiqués de fraude en matière d'immigration.
Protection Mimecast
Mimecast a mis en place des fonctionnalités de détection complètes afin d'identifier et de bloquer les e-mails liés à cette campagne d'usurpation d'identité visant le Home Office. Nous continuons à surveiller l'évolution des tactiques et des techniques utilisées par ces acteurs malveillants afin de garantir que nos clients restent protégés contre cette menace sophistiquée.
Objectifs:
Les organisations britanniques titulaires d'une licence de parrainage, tous secteurs d'activité confondus, en particulier les entreprises qui gèrent activement des programmes de parrainage de visas et les utilisateurs réguliers du système SMS.
Indicateurs de compromission (IOC)
Objets courants :
- Un nouveau message a été publié sur votre système de gestion des parrainages
- Notification de message par SMS
- Nouveau message dans votre compte UKVI
- Notification de nouveau message
- Notification de l'UKVI
- Notification du système SMS
- Notification du système – Action requise
- Secure Message UKVI
- Notification sécurisée de l'UKVI
- Vous avez un nouveau message
- Vous avez reçu une notification concernant votre nouveau compte SMS
- Vous avez reçu un nouveau message
- Vous avez reçu un nouveau message
URL malveillantes :
- hxxps://hkrd[.]site/points.homeoffice.gov.uk.gui-sms-jsf.home.SMS-003-Home.faces
- hxxps://www.slcpi[.]org/points.homeoffice.gov.uk-uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://sinsense[.]jp/gov.uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://casting-one[.]jp/uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
- hxxps://alfonzorivas[.]com/uk-visas-and-immigration-gov.uk.points.homeoffice.gov.uk
Recommandations
Mesures de sécurité relatives aux e-mails
- Mettez en place des fonctionnalités avancées de sécurité des e-mails capables de détecter les tentatives d'usurpation d'identité des autorités publiques et les modèles d'URL suspects
- Mettez en place la réécriture d'URL et le « sandboxing » afin d'analyser les liens avant toute interaction de l'utilisateur
Gestion des accès
- Mettez en place une authentification multifactorielle pour tous les accès au système par SMS afin d'empêcher toute compromission liée aux identifiants
- Mettez en place des politiques de rotation régulière des identifiants pour les utilisateurs ayant accès au système SMS
- Surveillez l'activité de votre compte SMS afin de détecter d'éventuels accès non autorisés ou des lieux de connexion inhabituels
Formation de sensibilisation des utilisateurs
- Informer les titulaires de licences de parrainage sur les canaux de communication officiels du Home Office et les domaines de messagerie officiels
- Organisez régulièrement des simulations de Phishing visant spécifiquement à tester la capacité à reconnaître les techniques d'usurpation d'identité des autorités publiques
- Formez les utilisateurs à vérifier les notifications urgentes relatives à la conformité via les canaux officiels du ministère de l'Intérieur avant de prendre des mesures
Contrôle organisationnel
Mettre en place des procédures de vérification pour toutes les communications relatives au SMS, en exigeant une confirmation supplémentaire par les voies officielles
- Élaborer des protocoles d'intervention en cas de suspicion de compromission d'un compte SMS, prévoyant notamment le changement immédiat des identifiants et la notification au siège social
- Mettre en place une séparation des tâches dans la gestion des licences des promoteurs afin d'éviter les scénarios de « point de défaillance single »
Recherche proactive des menaces :
- Recherchez dans les journaux de messagerie les messages contenant des objets ou des URL correspondant à ceux mentionnés dans cette notification.