Une nouvelle attaque de phishing SharePoint a été détectée. Elle consiste à tenter de voler des justificatifs d’identité de Microsoft Office 365.

Les e-mails frauduleux envoyés dans le cadre de cette campagne sont semblables à ceux utilisés dans d’innombrables attaques de phishing de Google Docs. À première vue, ils ressemblent à des propositions de collaboration par le biais du partage de fichiers. Pourtant, ces e-mails sont souvent utilisés pour diffuser des logiciels malveillants, des documents contenant des macros malveillantes ou des liens qui pointent vers des sites web où des logiciels malveillants peuvent être téléchargés par l’utilisateur et à son insu.

Ces attaques d’usurpation d’identité de marque utilisent un format d’e-mail identique à celui utilisé dans les messages authentiques. Les courriels de phishing utilisent un format bien défini, contiennent des logos et des liens qui rendent les messages identiques aux messages légitimes demandant une collaboration sur un projet.

Cette attaque de phishing SharePoint comprend un hyperlien vers un document SharePoint authentique. Ce document ne peut pas être considéré comme malveillant puisqu’il ne contient pas de malware.

Le fichier SharePoint informe l’utilisateur que le contenu qu’il recherche a été téléchargé sur OneDrive for Business et un clic supplémentaire est nécessaire pour accéder au fichier. Un hyperlien nommé « Access Document » est inclus dans ce fichier SharePoint avec le logo authentique OneDrive for Business et les graphiques appropriés.

Au premier abord, le document ne semble pas malveillant, mais la vérification de l’URL de destination du lien peut révéler qu’il dirige l’utilisateur vers un site web suspect.

C’est sur ce site web que se déroule la tentative de phishing.

Après avoir cliqué sur le lien, l’utilisateur reçoit une fenêtre de connexion pour Office 365 et doit saisir ses informations de connexion Microsoft. Si à ce stade, il saisit ses informations d’identification, celles-ci seront transmises aux cybercriminels qui sont à l’origine de la campagne de phishing. Bien entendu, il est peu probable que l’utilisateur se rende compte qu’il a été victime d’un phishing réussi, car après avoir entré ses identifiants, il sera dirigé vers un véritable site de Microsoft Office.

Cette forme de phishing cible essentiellement les entreprises, car les utilisateurs professionnels d’Office ont souvent l’habitude de collaborer à l’aide de SharePoint. Ils sont donc plus susceptibles de répondre aux e-mails des pirates informatiques.

L’accès à un compte d’entreprise Office 365 est plus lucratif pour les cybercriminels, car cela leur permet d’accéder à des comptes de messagerie dans le but de les utiliser lors de campagnes de phishing ultérieures. Les informations qu’ils obtiennent leur permettent également d’accéder aux données stockées dans ces comptes de messagerie et à d’autres données sensibles.

Les adresses e-mail des utilisateurs professionnels peuvent facilement être trouvées sur des sites en ligne tels que LinkedIn. Les pirates peuvent aussi les chercher dans des listes d’adresses e-mail professionnelles achetées sur le marché noir du web et sur les forums de piratage.

Les attaque de phishing SharePoint, les attaques de phishing Google Docs et les campagnes similaires d’usurpation de Dropbox sont courantes et très efficaces.

Elles profitent de la familiarité avec ces services de collaboration, de la confiance des utilisateurs dans les marques, du manque de sensibilisation à la sécurité et des mauvaises habitudes des employés (ceux-ci ne prennent pas le temps de réfléchir avant de cliquer sur un lien quelconque).

La prévention de ces attaques nécessite des solutions technologiques pouvant empêcher la transmission des messages. Certes, la formation de sensibilisation à la sécurité peut être très efficace pour conditionner les employés à bien réfléchir avant d’agir, mais il faut également des filtres web capables de bloquer ces attaques en empêchant les URL malveillantes d’être visitées.

Sans ces contrôles, les entreprises resteront vulnérables !