Phishing

Selon le blog de Kaseya, sur la base de détections d’INKY, des campagnes exploitent des « DKIM replay attacks » en abusant de workflows légitimes (Apple, PayPal, DocuSign, HelloSign) pour diffuser des arnaques via des e‑mails authentifiés. Les champs contrôlés par l’utilisateur (nom du vendeur, notes) servent à insérer des consignes frauduleuses et un numéro de téléphone, puis les messages signés sont rejoués vers des cibles. • Mécanique de l’attaque ⚙️: un e‑mail légitime signé DKIM est capturé puis rejoué à d’autres destinataires sans modification des en‑têtes/body signés, ce qui maintient dkim=pass et donc dmarc=pass (si alignement). DKIM garantit l’intégrité du contenu, pas l’identité du routeur/délivreur. Même si SPF échoue au transfert, un DKIM aligné suffit à faire passer DMARC. ...

Source: Sygnia (blog) — Sygnia publie une enquête en direct sur un réseau mondial d’« escroqueries à la récupération » qui usurpe l’identité de cabinets d’avocats et de juristes, s’appuyant sur des sites web clonés, une infrastructure distribuée et des canaux de communication hors-site pour re‑cibler des victimes de fraudes antérieures. Le volume de ce type d’escroquerie est présenté comme en forte hausse, porté par l’industrialisation (génération de contenus assistée par IA, outils de deepfake, clonage de sites). ...

Selon Blick, la police vaudoise observe une hausse notable des arnaques téléphoniques la semaine du 12 janvier 2026, avec 73’000 CHF soutirés et 24 cas recensés (dont 12 tentatives à Lausanne, Nyon et Savigny). Nouveauté marquante: des escrocs se font désormais passer pour des employés de centres médico-sociaux (CMS) afin de cibler des victimes souvent âgées. 📈 Côté tendances, après une «relative accalmie» liée à une demande d’entraide judiciaire adressée à la France en août 2025, la hausse a repris. En 2025, la police a compté 925 cas (668 tentatives, 257 réussites) contre 369 cas (229 tentatives, 140 réussites) l’année précédente. Une progression des tentatives est signalée, sans hausse proportionnelle des réussites, la population étant probablement mieux informée. La même tendance est observée dans les autres cantons. ...

BleepingComputer rapporte qu’Okta avertit de la circulation de kits de phishing personnalisés conçus pour des attaques de vishing, actuellement utilisés pour dérober des identifiants Okta SSO en vue de vols de données. Les kits sont conçus spécifiquement pour la manipulation vocale (vishing) et sont déployés dans des campagnes actives, selon les informations rapportées. L’objectif principal est le vol d’identifiants Okta SSO, permettant un accès non autorisé susceptible de mener à de l’exfiltration de données. ...

Selon BleepingComputer, LastPass met en garde contre une nouvelle campagne de phishing déguisée en notification officielle de maintenance, qui demande aux utilisateurs de sauvegarder leur coffre-fort (« vault ») sous 24 heures. LastPass alerte ses utilisateurs au sujet d’une nouvelle campagne de phishing se faisant passer pour une notification officielle de maintenance. Les e-mails frauduleux prétendent que les utilisateurs doivent sauvegarder leur coffre-fort de mots de passe dans les 24 heures, sous peine de perdre l’accès à leurs données. ...

Source: Microsoft Threat Intelligence — Microsoft détaille l’essor de RedVDS, un marché criminel de VDS/RDP Windows clonés, utilisé par de multiples acteurs financiers (Storm‑0259, Storm‑2227, Storm‑1575, Storm‑1747, etc.) pour des opérations de phishing, account takeover et BEC à l’échelle mondiale. En coopération avec des forces de l’ordre, la Digital Crimes Unit (DCU) a récemment facilité une perturbation de l’infrastructure RedVDS. Microsoft relie ces activités à environ 40 M$ de pertes signalées aux États‑Unis depuis mars 2025. ...

Source : BleepingComputer — Microsoft a annoncé avoir perturbé RedVDS, une plateforme cybercriminelle de « virtual desktop » (VDS) opérant depuis 2019, via des actions civiles aux États‑Unis et au Royaume‑Uni et une opération internationale conduite avec Europol et les autorités allemandes. RedVDS fonctionnait comme un Cybercrime-as-a-Service vendant des serveurs Windows en cloud avec droits administrateur et sans limites d’usage pour environ 24 $/mois. La plateforme a été utilisée par plusieurs groupes de menace, dont Storm‑0259, Storm‑2227, Storm‑1575 et Storm‑1747, et son développeur/opérateur est suivi comme Storm‑2470. Microsoft a saisi l’infrastructure, mettant hors ligne le marketplace et le portail client. Deux co‑demandeurs se sont joints à l’action : H2‑Pharma (perte de 7,3 M$ via BEC) et l’association Gatehouse Dock Condominium en Floride (près de 500 000 $). ...

Selon CH Media, à l’approche du Forum économique mondial (WEF) de Davos (13–29 janvier), l’armée suisse a conduit un exercice de sensibilisation à la cybersécurité en envoyant un faux « ordre de mission*MOB » par SMS à environ 5000 militaires. L’alerte invitait à cliquer sur un lien; ceux qui l’ont fait ont été redirigés vers une page expliquant qu’il s’agissait d’un test de phishing et qu’ils avaient mal réagi. Le Commandement cyber confirme qu’il s’agit d’un exercice, intégré à une vaste campagne de sensibilisation en cours, sans évaluation chiffrée publiée pour l’instant, et qui se poursuit jusqu’au début du WEF. La porte-parole souligne que les militaires sont déjà très sensibilisés, tout en rappelant que les formes d’attaque évoluent (notamment via l’IA). ...

Source: SecurityAffairs, relayant un rapport de l’Insikt Group (Recorded Future). Entre février et septembre 2025, le groupe lié au GRU russe APT28/BlueDelta a élargi ses opérations de vol d’identifiants en ciblant des personnels d’agences énergie/nucléaire en Turquie, des think tanks européens, ainsi que des organisations en Macédoine du Nord et en Ouzbékistan. Les campagnes reposaient sur des fausses pages de connexion imitant Microsoft Outlook Web Access (OWA), Google et Sophos VPN, avec redirection vers les sites légitimes après la capture des identifiants pour réduire la détection. Les attaquants ont privilégié des infrastructures à bas coût et jetables (hébergement gratuit, services de tunneling) et des leurres PDF légitimes (publications du Gulf Research Center et de l’EcoClimate Foundation/ECCO) pour renforcer la crédibilité et contourner les contrôles e-mail. ...

Selon BleepingComputer, entre octobre et décembre 2025, des officiels des Forces de défense ukrainiennes ont été visés par une campagne à thème caritatif qui a livré un malware de type backdoor, nommé PluggyApe. 🎯 Campagne PluggyApe visant les Forces de défense ukrainiennes Entre octobre et décembre 2025, des responsables des Forces de défense ukrainiennes ont été ciblés par une campagne malveillante se faisant passer pour des initiatives caritatives. Selon un rapport de :contentReference[oaicite:0]{index=0}, les attaques sont attribuées avec un niveau de confiance moyen à un groupe de menace russe connu sous les noms Void Blizzard et Laundry Bear. ...