Une campagne de phishing innovante a été découverte. Elle utilise de fausses pages de connexion de Microsoft Office 365 pour inciter ses victimes à croire qu’elles se connectent à leur véritable compte Office 365.
Les emails de phishing informent l’utilisateur qu’une erreur de synchronisation des messages a bloqué la livraison des emails à son compte de messagerie. Un lien est fourni avec le texte d’ancrage « Lire le message » qui le dirige vers une fausse page de connexion Office 365 où il peut consulter les messages et décider quoi faire avec.
Si l’utilisateur clique sur le lien, son adresse email sera vérifiée et validée, et il sera dirigé vers la page de phishing. Ce qui rend cette campagne unique, c’est que le contrôle permet aux attaquants d’extraire du contenu de la page de connexion de l’utilisateur d’Office 365 via des requêtes HTTP GET. La page de phishing est personnalisée avec l’arrière-plan et le logo de l’entreprise, et ce, de manière dynamique. Si l’entreprise n’a pas de page de connexion personnalisée, c’est le fond d’écran d’Office 365 standard qui s’affiche.
Les pages de connexion sont des clones des pages authentiques d’Office 365. Il est donc peu probable qu’elles soient reconnues comme fausses par les utilisateurs. Les pages de phishing sont également hébergées sur une infrastructure de stockage légitime dans le cloud. Parmi les noms de domaines utilisés, on compte blob.core.windows.net et azurewebsites.net qui ont des certificats SSL Microsoft valides. Ainsi, les pirates peuvent mener une campagne très convaincante et susceptible de tromper de nombreux employés afin qu’ils divulguent leurs identifiants de connexion.
Les utilisateurs de Microsoft Office 365 sont la cible privilégiée des cybercriminels
Microsoft Office 365 est le service cloud le plus prisé par les entreprises. Il compte actuellement plus de 155 millions d’utilisateurs actifs. Un employé américain sur cinq utilise au moins un service Office 365 et la moitié des entreprises qui ont recours aux services cloud utilisent cette solution de Microsoft.
Avec des chiffres aussi élevés, il n’est pas surprenant que les utilisateurs d’Office 365 soient la cible privilégiée des pirates informatiques.
Ce qui est très préoccupant, c’est le nombre d’emails malveillants qui parviennent à contourner les moyens de défense standard contre le phishing d’Office 365. Une étude réalisée par Avanan cette année a montré que 25 % des emails de phishing contournent les défenses d’Office 365 et arrivent dans les boîtes de réception des employés.
Lorsqu’un pirate informatique réussit à accéder à un compte de messagerie, il peut utiliser ce compte pour mener des attaques de phishing contre d’autres employés de l’entreprise. Pour ce faire, ils tentent de compromettre autant de comptes que possible et, idéalement, un compte administrateur. Les comptes compromis peuvent également être utilisés pour les attaques BEC, une arnaque sophistiquée ciblant les entreprises qui sont en relation d’affaires avec des fournisseurs étrangers ou avec des entreprises effectuant des paiements par virement bancaire.
A noter que les identifiants de connexion peuvent être utilisés pour accéder à d’autres ressources Office 365 et les comptes de messagerie peuvent être utilisés pour voler des données sensibles.
Exemples récents d’attaques de phishing
Les escrocs qui visent PayPal peuvent par exemple envoyer un e-mail d’attaque qui demande aux destinataires de cliquer sur un lien afin de rectifier une anomalie sur leur compte. En fait, le lien les redirige vers un site Web conçu pour imiter la page de connexion de PayPal. Ce site recueille leurs informations de connexion lorsqu’ils essaient de s’authentifier et envoient ces données aux pirates.
Ce type de campagne a également fait les gros titres ces dernières années. Au début du mois de septembre 2020, PR Newswire a partagé des recherches effectuées par le CERT (un centre d’alerte et de réaction aux attaques informatiques) de Retarus. Le message recommande aux organisations de se méfier des pirates qui se font passer pour des partenaires contractuels. Les cybercriminels ont envoyé des e-mails de phishing, invitant les organisations à mettre à jour les contrats de leurs partenaires commerciaux en téléchargeant une pièce jointe. Pour ajouter de la légitimité à leur attaque, ils ont fait croire que les documents étaient hébergés dans le système de transaction leader du secteur, à savoir Dotloop. Mais en cliquant sur le document, les victimes étaient simplement redirigées vers une fausse page de connexion Microsoft.
Moins d’un mois plus tard, les chercheurs de Cofense ont également repéré une campagne d’e-mails qui prétendait provenir d’un fournisseur de formation à la sécurité. Les messages envoyés avertissaient leurs destinataires qu’il ne leur restait qu’un jour pour suivre une formation obligatoire et les incitent à cliquer sur une URL. Une fois que les victimes s’exécutent, la campagne leur envoie vers un site de phishing, utilisant une fausse page de connexion OWA hébergée sur un domaine russe. Ceci permet aux pirates de voler leurs informations d’identification Microsoft.
Comment se défendre contre le phishing ?
Le succès d’une attaque de phishing dépend de la ressemblance entre l’e-mail malveillant et une pièce de correspondance officielle de l’entreprise victime. Ainsi, les utilisateurs doivent inspecter soigneusement toutes les URL pour voir si elles redirigent vers un site Web suspect ou inconnu. Ils doivent aussi faire attention aux salutations génériques, aux erreurs d’orthographe et aux fautes de grammaire dans l’e-mail.
Qu’est-ce que le Spear Phishing ?
Toutes les escroqueries par phishing ne font pas appel à la technique de l’envoi de nombreux messages malveillant dans l’espoir qu’une personne tombe dans le piège. Certaines ruses reposent sur une touche personnelle. C’est le cas du spear phishing.
Dans ce type d’attaque, les fraudeurs personnalisent leurs messages avec le nom, la fonction, l’entreprise, le numéro de téléphone professionnel et d’autres informations de sa victime, afin de lui faire croire qu’elle a un lien avec l’expéditeur. L’objectif est pourtant le même que pour le pishing : l’inciter à cliquer sur une URL ou une pièce jointe malveillante pour qu’elle divulgue ses données personnelles.
Étant donné la quantité d’informations nécessaires pour élaborer une tentative d’attaque convaincante, il n’est pas surprenant que le spear-phishing soit courant sur les sites de médias sociaux comme LinkedIn, où les attaquants peuvent utiliser plusieurs sources de données afin de créer un e-mail d’attaque ciblé.
Techniques utilisées dans le spear phishing
Voici quelques-unes des techniques les plus courantes utilisées dans les attaques de spear phishing pour les utilisateurs d’Office 365 :
Hébergement de documents malveillants sur des services dans le cloud.
Selon CSO Online, les pirates informatiques hébergent de plus en plus leurs documents malveillants sur Dropbox, Google Drive et d’autres services basés dans le cloud. Par défaut, il est peu probable que le service informatique bloque ces services. Les filtres de messagerie de l’entreprise ne signaleront donc pas les documents malveillants.
Jetons de compromission
La plateforme d’informations sur la sécurité, CSO Online, a également noté que les pirates tentent de compromettre les jetons d’API (interface de programmation d’applications) ou les jetons de session. S’ils y parviennent, ils pourront voler l’accès à un compte de messagerie de leurs victimes via SharePoint ou à une autre ressource.
Recueil des notifications hors du bureau
Les attaquants ont besoin de beaucoup de renseignements pour envoyer une campagne de spear-phishing convaincante. Trend Micro rapporte que l’un des moyens d’y parvenir est d’envoyer des messages en masse aux employés et de recueillir les notifications externes dans le but de connaître le format des adresses électroniques utilisées par les employés internes.
Explorez les médias sociaux
Les pirates doivent savoir qui travaille dans l’entreprise qu’ils veulent attaquer. Pour ce faire, ils peuvent utiliser les médias sociaux afin d’étudier la structure de l’organisation et de décider sur la personne qu’ils souhaitent cibler.
Exemples d’attaques de Spear Phishing
Début septembre 2020, L’entreprise américaine spécialisée dans la sécurité informatique Proofpoint a révélé qu’elle a détecté deux campagnes d’attaques de spear-phishing impliquant le groupe APT basé en Chine.
La première attaque a eu lieu en mars et ciblait des entités gouvernementales européennes, des entreprises mondiales associées aux affaires économiques, des organismes de recherche à but non lucratif, en tentant les destinataires d’ouvrir le document de l’OMS. Le document est intitulé « Critical preparedness, readiness and response actions for COVID-19, Interim guidance “. Quant au second message malveillant, il visait les dissidents tibétains avec une présentation PowerPoint dont l’objet est « Tibétains being hit by deadly virus that carries a gun and speaks chinese.ppsx ». Les deux messages ont été envoyés avec des charges utiles d’une nouvelle famille de malwares (Sepulcher) qui vole les identifications de connexion.
Moins d’une semaine plus tard, la plateforme qui offre une nouvelle façon de détecter, d’alerter et de se protéger contre les attaques cybercriminelles, Armorblox, a affirmé être tombé sur une tentative d’attaque de phishing contre l’une des 50 premières entreprises innovantes au monde en 2019. Le message malveillant utilisait des techniques d’usurpation pour faire croire à son destinataire qu’il contenait un rapport financier interne. La pièce jointe redirigeait par la suite les destinataires vers une fausse page de connexion Office 365 qui montrait leur nom d’utilisateur présaisi sur la page, ce qui crée davantage le déguisement que le portail était une ressource fiable.
Comment se défendre contre le Spear Phishing ?
Pour se protéger contre ce type d’attaque, les entreprises doivent dispenser une formation continue de sensibilisation des employés à la sécurité qui, entre autres, incite les utilisateurs à ne pas publier des informations personnelles ou professionnelles sensibles sur les médias sociaux. Elles doivent également investir dans des solutions qui analysent les e-mails entrants à la recherche de liens malveillants ou de pièces jointes connus. Cette solution doit être capable de détecter les indicateurs des malwares connus et des menaces de type « zero day ».
Les attaques BEC : qu’est-ce qu’elles sont et comment s’en protéger ?
Selon l’IC3 (Internet Crime Complaint Center) du FBI, les stratagèmes de compromission d’e-mails professionnels (BEC) ont connu une croissance vertigineuse (2 370 %) depuis 2015. Avec plus de 40 000 incidents internationaux et nationaux, ces types d’attaques ont coûté plus de 4,5 milliards d’euros en pertes réelles et tentatives.
Pour vous aider à garder une longueur d’avance sur cette menace de plusieurs milliards d’euros, voici un rapide tour d’horizon de ce qu’est une attaque BEC ; comment elle fonctionne et comment vous pouvez protéger au mieux votre entreprise.
Qu’est-ce qu’une attaque BEC ?
Une attaque BEC commence par un cybercriminel qui pirate et usurpe des e-mails pour se faire passer pour un superviseur, un PDG ou un fournisseur de votre entreprise. Une fois entré, il demande un paiement commercial qui semble légitime.
L’e-mail semble authentique et semble provenir d’une figure d’autorité connue. L’employé s’exécute et le pirate demande que l’argent soit viré ou que les chèques soient déposés, en fonction des pratiques commerciales habituelles. Pourtant, cette forme de cybercriminalité a évolué et ne concerne même plus l’argent. La même technique peut être utilisée pour voler les informations personnelles identifiables des employés, ou les formulaires de salaire et d’impôt.
Que pouvez-vous faire pour bloquer une telle attaque ?
Si certaines attaques BEC impliquent l’utilisation de malwares, beaucoup reposent sur des techniques d’ingénierie sociale. De nombreux antivirus, filtres antispam ou listes blanches des e-mails sont inefficaces face à une telle attaque. Cependant, l’une des choses les plus utiles que vous puissiez faire est de sensibiliser vos employés et de déployer des techniques de prévention interne, en particulier pour les employés de première ligne qui sont les plus susceptibles d’être le destinataire des premières tentatives de phishing.
Voici quelques stratégies d’autoprotection que votre entreprise peut adopter :
- Évitez les comptes de messagerie électronique gratuits basés sur le Web. Créez un nom de domaine d’entreprise et utilisez-le pour créer des comptes de messagerie d’entreprise à la place des comptes gratuits.
- Activez l’authentification multifactorielle pour les comptes de messagerie professionnelle. Ce type d’authentification nécessite plusieurs éléments d’information pour se connecter, comme un mot de passe et un code dynamique, un code ou un élément biométrique. La mise en œuvre de l’authentification multifactorielle rend plus difficile l’accès d’un cybercriminel à la messagerie des employés, ce qui rend plus difficile le lancement d’une attaque BEC.
- N’ouvrez pas les e-mails provenant de sources inconnues. Si vous le faites, ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes, car elles contiennent souvent des malwares qui accèdent à votre système informatique.
- Sécurisez votre nom de domaine. L’usurpation de domaine utilise de légères variations dans les adresses électroniques légitimes pour tromper les victimes d’une attaque BEC. L’enregistrement de noms de domaine similaires au vôtre contribuera à vous protéger contre l’usurpation d’adresse électronique qui est au cœur des attaques réussies.
- Vérifiez deux fois l’adresse électronique de l’expéditeur de vos e-mails. Une adresse électronique usurpée a souvent une extension similaire à celle de l’adresse électronique légitime.
- Faites suivre les e-mails professionnels. En transférant les messages, l’adresse électronique correcte doit être saisie manuellement ou sélectionnée dans le carnet d’adresses. Le transfert garantit que vous utilisez l’adresse électronique correcte de son destinataire.
- Ne partagez pas trop d’informations en ligne. Faites attention à ce que vous publiez sur les médias sociaux et les sites web de l’entreprise, en particulier les fonctions et les descriptions de poste, les informations hiérarchiques et les détails sur les sorties du bureau.
- Vérifiez toujours avant d’envoyer de l’argent ou des données. Assurez-vous que vos employés confirment les demandes de virement ou d’informations confidentielles reçues par e-mail. Confirmez par un appel téléphonique en utilisant des numéros connus antérieurement, et non les numéros de téléphone fournis dans l’e-mail.
- Connaissez les habitudes de vos vendeurs et de vos clients. S’il y a un changement soudain dans les pratiques commerciales, vous devriez vous en méfier. Par exemple, si un contact commercial vous demande soudainement d’utiliser son adresse électronique personnelle alors que toute la correspondance précédente s’est faite via le compte de messagerie de votre entreprise, la demande pourrait être frauduleuse. Dans ce cas, vérifiez la demande auprès d’une autre source.
- Les attaques BEC ne sont pas aussi connues que les ransomwares ou d’autres formes de cybercriminalité, mais elles constituent néanmoins une menace très importante pour les entreprises de toutes tailles. Si vous associez les mesures de sécurité de la messagerie électronique à l’éducation et aux meilleures pratiques, votre entreprise peut éviter les tentatives de BEC. Toutefois, si votre entreprise est visée, n’oubliez pas d’alerter immédiatement votre banque et votre service informatique, et de déposer une plainte auprès de l’IC3.
Les BEC à l’origine d’environ 1.7 milliard d’euros de pertes l’année dernière
Même si les méthodes des escrocs BEC peuvent sembler manquer de sophistication. Les e-mails de phishing de nature malveillante, ce type d’attaque crée des pertes financières record chaque année depuis 2018.
Selon le rapport annuel du FBI en 2020 sur la cybercriminalité les pertes liées aux attaques BEC sont estimées à plus de 1,8 milliard de dollars.
Microsoft a également détecté une autre campagne à grande échelle, ciblant plus de 120 entreprises en utilisant des domaines de type ‘typosquattage’ enregistrés quelques jours seulement avant le début des attaques.
En mars, le FBI a mis en garde contre des attaques de BEC qui ont ciblé de plus en plus les entités gouvernementales américaines. Les pertes signalées étaient de l’ordre de10 000 à 4 millions de dollars entre novembre 2018 et septembre 2020.
Dans d’autres alertes envoyées l’année dernière, le FBI a mis en garde contre les escrocs derrières les attaques BEC qui abusent de la redirection automatique des e-mails et des services de messagerie dans le cloud comme ceux de Microsoft Office 365 et de Google G Suite dans leurs attaques.
Comment protéger votre entreprise des attaques de phishing contre Office 365 ?
Il y a trois mesures clés que vous pouvez prendre pour améliorer vos défenses contre le phishing d’Office 365. L’étape la plus importante est d’améliorer votre système de sécurité avec une solution anti-spam et anti-phishing tierce.
SpamTitan peut être implémenté en quelques minutes et fournit une protection supérieure contre les attaques de phishing contre Office 365. La solution a été testée indépendamment et s’est révélée capable de bloquer plus de 99,9 % des spams et 100 % des malwares connus. Elle comporte également une fonction bac à sable, où les pièces jointes suspectes peuvent être analysées dans un environnement sécurisé. Par ailleurs, SpamTitan intègre une solution d’authentification DMARC qui assure une protection contre les attaques par usurpation d’identité et qui contournent généralement les filtres de sécurité d’Office 365.
Néanmoins, aucune solution de sécurité web n’offre une protection totale contre les attaques de phishing. Il est donc important de vous assurer que vos employés reçoivent une formation de sensibilisation à la sécurité. Ils devraient être formés quant aux risques d’attaques par emails et à la façon d’identifier les emails de phishing.
Grâce à une formation efficace, vous pouvez faire de vos employés la dernière ligne de défense solide contre de telles menaces.
N’oubliez pas que même les employés les plus soucieux de la sécurité pourraient se laisser duper par un email de phishing sophistiqué et divulguer leurs identifiants de connexion à Office 365. Il est donc important de mettre en œuvre l’authentification à deux facteurs.
L’authentification à deux facteurs nécessite une deuxième méthode d’authentification des utilisateurs – en plus du mot de passe – lorsqu’ils tentent de se connecter à leurs comptes Office 365 à partir d’un emplacement inconnu ou d’un nouvel appareil. Dans le cas où les informations d’identification seraient compromises, l’accès au compte peut être bloqué par l’authentification à deux facteurs. Cependant, les entreprises ne devraient pas se fier uniquement à cette mesure pour protéger leurs comptes Office 365, car elle n’est pas infaillible.
Si vous souhaitez en savoir plus sur l’amélioration de la sécurité d’Office 365, appelez l’équipe TitanHQ dès aujourd’hui et réservez une démonstration du produit. SpamTitan est également disponible en version d’essai gratuite pour que vous puissiez l’évaluer avant de prendre une décision d’achat.