Sécurité Office 365

FAQ sur la sécurité pour Office 365

Que signifie Office 365 et en quoi est-il différent de Microsoft Office ?

Office 365 désigne les formules d’abonnement qui intègrent l’accès aux applications Office ainsi que d’autres services sur Internet, comme le service basé dans le cloud. Il offre également un stockage en ligne supplémentaire avec OneDrive et il est compatible avec les versions de bureau de la dernière version d’Office, telles qu’Office 2007 ou Office 2010. Quant à Microsoft Office, il s’agit d’un logiciel de productivité bien connu, comprenant de nombreuses applications comme Word, Excel, Outlook et PowerPoint. Ces applications peuvent être installées sur un seul PC, mais elles ne sont pas fournies avec les services dans le cloud.

Lorsqu’on parle d’Office 365, on évoque souvent le terme « Clutter ». De quoi s’agit-il exactement ?

Microsoft a activé le dossier appelé « Clutter » dans les comptes Office 365. Il s’agit d’un service basé sur l’apprentissage de la machine et qui s’appuie sur le comportement de chaque utilisateur pour qu’il puisse identifier et supprimer les e-mails de faible priorité de sa boîte de réception.

Combien d’utilisateurs Office 365 peut-il prendre en charge ?

Office 365 est très évolutif. Il peut prendre en charge aussi bien les employés des PME que ceux des grandes entreprises qui comptent des dizaines de milliers d’utilisateurs. La marque propose différentes options comme Office 365 Business Essentials, Office 365 Business et Office 365 Business Premium, Office 365 ProPlus, Office 365 Enterprise E1, Office 365 Enterprise E3, Office 365 Enterprise E4, Exchange Online Kiosk et Office 365 Enterprise K1, lequel peut accueillir un nombre illimité d’utilisateurs.

Office 365 n’offre-t-il pas assez de protection contre les menaces en ligne ?

Bien que Microsoft Office 365 et Exchange Online vous permettent de stocker vos données dans le cloud, celles-ci sont toujours vulnérables aux menaces en ligne. Si vous voulez un succès continu pour votre entreprise, il est recommandé de choisir une solution tierce afin de mieux sécuriser vos informations sensibles.

Comment mieux sécuriser Microsoft 365 pour une entreprise ?

Si vous avez une PME utilisant l’une des solutions de Microsoft et qu’elle est ciblée par les pirates informatiques, il est essentiel d’adopter l’authentification multifacteurs, de former vos employés sur les cybermenaces et d’utiliser une solution antispam et antiphishing tierce fiable comme SpamTitan.

Phishing : des faux prêts PPP à des entreprises américaines

phishing-faux-prets-ppp-entreprises-americaines

Les cybercriminels ont trouvé de nouveaux moyens de cibler leurs victimes avec de faux prêts PPP grâce à une campagne de phishing.

À la suite de la pandémie et du blocage de nombreuses entreprises par le COVID-19, les entreprises américaines se sont vu offrir un moyen de rester à flot sous la forme d’un prêt PPP.

Le « Paycheck Protection Program » est un prêt d’urgence mis en place par le gouvernement américain et destiné aux petites entreprises exerçant aux États-Unis pour les aider à stabiliser leurs charges salariales et d’autres coûts commerciaux.

En fait, les banques et autres prêteurs accordent des fonds aux entreprises en fonction de leur chiffre d’affaires, de leur taille et du nombre d’employés. Même les petites entreprises ont pu obtenir un prêt PPP pour les aider à couvrir leurs salaires et autres dépenses.

Pour s’attaquer aux propriétaires d’entreprises désespérées, les auteurs de phishing ont créé une campagne qui leur promettait un prêt PPP lorsqu’ils cliquaient sur un lien où les attaquants pouvaient recueillir des informations sensibles sur eux.

Comment fonctionne cette arnaque de phishing ?

Comme de nombreuses petites entreprises avaient besoin de prêt PPP pour couvrir leurs dépenses, les pirates pouvaient choisir parmi des millions de cibles. Même les indépendants ayant une petite entreprise pouvaient prétendre à un prêt, à condition d’avoir des revenus et de remplir certains documents.

Il est courant que les attaques de phishing jouent sur la peur de l’avenir et le sentiment d’urgence d’obtenir un financement des utilisateurs ciblés, et le prêt PPP était le moyen idéal pour les inciter à divulguer des informations sensibles.

L’email contenait un lien vers un formulaire Microsoft Office dans lequel les utilisateurs étaient invités à fournir leur numéro de sécurité sociale, leur nom et leur date de naissance. Ces informations peuvent être utilisées pour ouvrir des comptes de carte de crédit et d’autres comptes financiers.

Dans des circonstances normales, n’importe quel destinataire de l’email de phishing aurait pu comprendre que ledit formulaire Office pouvait être malveillant. Mais cette fois, les attaquants ont joué sur les craintes et le sentiment d’urgence des propriétaires d’entreprises pour obtenir un soutien financier.

Pour rendre la chose plus crédible, les escrocs ont également demandé des informations sur l’entreprise, telles que les revenus, le coût des opérations et le coût des marchandises et des fournitures nécessaires au fonctionnement de l’organisation.

Si un utilisateur professionnel examinait les qualifications et les documents demandés, la proposition pourrait lui sembler légitime et nécessaire. De plus, les questions qui ont été posées ont donné à l’attaque de phishing un sentiment de légitimité.

Comme de nombreuses attaques de phishing, l’adresse de l’expéditeur était un domaine malveillant qui ressemblait au domaine officiel du gouvernement, à savoir payments@sba.pppgov.com.

Là encore, sans le sentiment d’urgence, un quelconque destinataire qui regarde minutieusement l’adresse pourrait remarquer que le domaine de l’expéditeur se termine par le suffixe « .com » plutôt que par l’extension officielle du gouvernement « .gov ». Néanmoins, l’attaque a joué sur la peur de l’avenir et le besoin de soutien financier des destinataires du message.

Découvrez les 10 signes révélateurs d’une escroquerie de phishing

Vol d’informations d’identification Microsoft Office

Outre le vol d’informations sensibles, l’objectif principal de l’attaque était d’obtenir les informations d’identification d’utilisateurs sans méfiance de Microsoft Office. Lorsque les utilisateurs cliquent sur un lien dans le message de phishing, une page de connexion Microsoft Office usurpée leur était présentée.

En règle générale, les utilisateurs ne devraient jamais saisir d’informations d’identification après avoir cliqué sur un lien dans un email, mais beaucoup d’entre eux ne respectent pas cette norme de cybersécurité. Ils saisissent leurs informations d’identification après avoir ouvert une page web malveillante à partir d’un email de phishing.

Les utilisateurs peuvent éviter ce type d’attaque en tapant simplement le soi-disant site intégré au message dans leur navigateur, plutôt que de saisir des informations d’identification à partir du lien fourni dans le message. En fait, il s’agit d’une méthode courante pour les inciter à divulguer des données sensibles, notamment des informations d’identification.

Plusieurs attaques de phishing utilisent également des graphiques et des mises en page de pages de destination usurpées qui imitent un site officiel d’une marque connue comme Microsoft, PayPal, Google et des institutions bancaires.

Un autre moyen d’éviter d’être victime de ce type d’attaque est d’utiliser l’authentification à deux facteurs. Même si les utilisateurs les plus avertis se laissent parfois prendre au piège d’une attaque de phishing, l’authentification à deux facteurs peut empêcher les attaquants de s’authentifier sur un compte avec un mot de passe volé.

Bien qu’il ne faille pas vous fier entièrement à l’authentification à deux facteurs pour vous protéger des escroqueries de phishing, sachez qu’elle ajoute une couche de cybersécurité à vos comptes au cas où vos informations d’identification seraient exposées.

Protéger les emails avec des filtres web

Les filtres de messagerie électronique bloquent la plupart des campagnes de phishing courantes. Comme cette campagne cible les entreprises, ils empêcheront par exemple les emails malveillants d’arriver dans la boîte de réception du propriétaire et des employés d’entreprise.

Par conséquent, ce type de cybersécurité réduit donc considérablement les effets du phishing, tout en protégeant les organisations d’un accès non autorisé à partir d’informations d’identification volées.

Non seulement les filtres de messagerie électronique empêchent les messages d’atteindre les boîtes de réception des destinataires des emails de phishing, mais ils permettent également aux administrateurs d’examiner les messages malveillants.

Ainsi, l’administrateur peut confirmer que le message est malveillant ou l’envoyer dans la boîte de réception des utilisateurs finaux dans un scénario de faux positif. En même temps, l’examen par l’administrateur permet à l’intelligence artificielle de s’entraîner à mieux différencier les messages malveillants des messages légitimes.

Enfin, les utilisateurs doivent être formés pour identifier les messages de phishing malveillants au cas où un attaquant parviendrait à contourner un filtre de messagerie.

Les bons filtres de messagerie bloqueront le phishing en se basant sur l’intelligence artificielle et d’autres méthodes de détection. Il s’agit de la première défense contre les campagnes de phishing, y compris les plus récentes qui s’appuient sur la peur et l’urgence suscitées par les blocages liés à la pandémie du Covid-19.

Si vous les combinez avec l’éducation des employés à la cybersécurité, votre entreprise pourra réduire drastiquement le risque de violation de données liée au phishing.

La solution de protection des emails SpamTitan peut bloquer les spams, les virus, les malwares, les tentatives de phishing et bien d’autres menaces liées à la messagerie électronique, en les empêchant d’arriver dans les boîtes de réceptions de vos employés.

Pour découvrir comment notre solution peut protéger votre entreprise, découvrez la vidéo de démonstration de SpamTitan.

Nouvelle campagne de spam via Excel Web Query pour diffuser des malwares

Nouvelle campagne de spam via Excel Web Query pour diffuser des malwares

Une nouvelle campagne de spam a été identifiée. Elle utilise des fichiers Excel Web Query pour envoyer des malwares.

Dans ce cas, les fichiers avec une extension IQY (.iqy) sont utilisés pour lancer des scripts PowerShell, donnant aux attaquants l’accès root à un périphérique.

Les fichiers .iqy ne sont généralement pas bloqués par des filtres antispam, ce qui rend la technique efficace pour la diffusion silencieuse de malwares.

Les spams sont envoyés via le botnet Necurs. Barkly a détecté trois campagnes de spam utilisant ces pièces jointes, mais il est fort probable que d’autres campagnes seront lancées.

Les fichiers Excel Web Query obtiennent des données d’une source externe et les chargent dans Excel. Dans ce cas, les données externes se présentent comme une formule exécutable dans Excel.

La formule est utilisée pour exécuter des scripts PowerShell qui, dans au moins une campagne, téléchargent un Cheval de Troie d’accès distant (RAT) appelé FlawedAmmyyy Admin.

Comment fonctionne cette nouvelle campagne de spam via des fichiers Excel Web Query

Il s’agit d’un outil d’administration à distance légitime (AMMYY Admin) modifié qui permet à l’attaquant de contrôler complètement un ordinateur et d’installer de nombreux programmes malveillants.

Dans bien des cas, les emails se font passer pour des bons de commande, des factures impayées et des documents scannés.

Ce sont des thèmes courants utilisés dans les emails non sollicités pour livrer des malwares. Les campagnes de spam utilisent souvent des documents Word avec des macros malveillantes.

Les macros sont généralement désactivées par défaut. Grâce à une formation de sensibilisation à la sécurité, les utilisateurs finaux peuvent être avisés de ne pas activer les macros sur les documents provenant d’expéditeurs inconnus.

Ceci permet d’empêcher le téléchargement de malwares.

Cependant, la plupart des utilisateurs finaux ne seront pas habitués à recevoir des fichiers .iqy, ces pièces jointes devraient donc éveiller les soupçons.

Microsoft a déjà intégré des avertissements pour empêcher ces fichiers d’être exécutés par les utilisateurs finaux.

Ainsi, si un utilisateur final tente d’en ouvrir un, cela déclenche un avertissement, prévenant que le fichier peut ne pas être sûr, car il permet une connexion externe.

L’utilisateur devra cliquer sur « enable » avant que la connexion ne soit établie et que les données ne soient extraites dans Excel. Un deuxième message d’avertissement s’afficherait alors, nécessitant encore une fois une autorisation.

Le script ne pourra donc s’exécuter et télécharger la charge utile malveillante que si l’utilisateur ignore ces deux avertissements.

Vous pouvez prendre deux mesures pour protéger vos terminaux et vos réseaux contre ce type d’attaque.

La première est de configurer votre filtre antispam pour mettre en quarantaine tous les emails contenant des pièces jointes avec une extension IQY.

SpamTitan permet de bloquer certains types de pièces jointes comme les fichiers exécutables et les fichiers .iqy. Grâce à cette solution, vous pouvez définir la politique de quarantaine, de rejet ou de suppression des emails.

Etant donné que ces types de fichiers ne sont généralement pas envoyés via la messagerie électronique, le rejet ou la suppression des messages est donc l’option la plus sûre.

Vous devriez également intégrer la façon d’utiliser ces fichiers dans vos séances de formation de sensibilisation à la sécurité et envisager d’envoyer une alerte par email aux utilisateurs finaux pour les avertir de la menace.

Contactez l’équipe de TitanHQ pour protéger vos messageries électroniques des malwares

Vous trouverez de plus amples informations sur les mesures que vous pouvez prendre afin de prévenir la propagation d’infections par des malwares via la messagerie électronique sur notre page de conseils antispam.

Si vous voulez en savoir plus sur les capacités de SpamTitan, vous pouvez appeler notre équipe de vente :

USA : +1 5859735070

Royaume-Uni/UE : +44 (0)2476993640

Irlande : +353 91 545555

Moyen-Orient : +971 4 3886998

Sécurité des emails et du web en 2020 : 5 menaces

Sécurité des emails et du web en 2020 : 5 menaces

Les cyberattaques n’ont cessé d’augmenter depuis l’apparition du COVID-19, et nous n’avons peut-être pas encore atteint le sommet.

Une étude a montré une augmentation de 30 % des cyberattaques entre les mois de juillet et août de cette année.

Le 18 août, 1 746 611 cyberattaques ont été enregistrées sur une période de 24 heures, ce qui constitue un record. Il est donc essentiel d’analyser les 5 principales menaces pour la sécurité du courrier électronique et du web en 2020.

Les menaces pour la sécurité des emails et du web en 2020

Même si nous voulons oublier l’année en cours, nous devons prendre le temps de l’analyser du point de vue de la cybersécurité afin de mieux nous protéger en 2021.

Voici un bref résumé des menaces qu’encourt en 2020 la sécurité des emails et du web.

Le travail à distance

Avant l’apparition de la pandémie, environ 5,2 % des employés américains travaillaient à distance à temps plein, selon le recensement américain.

Ce pourcentage était inférieur à celui de nombreuses entreprises en Europe, en particulier aux Pays-Bas, qui, pendant des années, ont mené le mouvement mondial en faveur du travail à distance avec un taux de 14,1 %.

Puis le COVID-19 a fait son apparition. Le PDG de Barclays a résumé la « nouvelle normalité » en une phrase : « Mettre 7 000 personnes dans un bâtiment peut être une chose du passé ».

Alors que les entreprises ont pu faire la transition vers des stratégies de travail à distance avec une relative facilité, la sécurisation du processus de travail lui-même est très difficile.

Les méthodes de sécurité conventionnelles se sont centrées sur une architecture de périmètre qui n’existe plus. Les employés travaillant à distance, isolés de l’informatique interne et de leurs pairs, sont beaucoup plus vulnérables aux cyberattaques.

La cyberguerre sera désormais menée sur mille fronts, plutôt que sur un seul périmètre.

Les attaques contre Microsoft Office 365

Microsoft Office 365 est rapidement devenu le cœur de beaucoup d’entreprises aujourd’hui.

Qu’il s’agisse de services de courrier électronique, d’applications Office ou de stockage de fichiers personnels, les entreprises et les écoles ont procédé à une migration active de leurs services essentiels vers le cloud O365.

En conséquence, les pirates informatiques en ont fait une cible privilégiée pour les attaques.

Ironiquement, les cybercriminels s’abonnent à ces mêmes services afin de découvrir ses vulnérabilités.

Qu’il s’agisse d’attaques à grande échelle de forçage d’identifiants ou d’attaques de phishing bien conçues (demandant aux utilisateurs de réinitialiser un mot de passe ou d’accéder à un OneDrive partagé), les utilisateurs de Microsoft Office 365 sont continuellement attaqués.

Pour contrer ces attaques, les entreprises doivent appliquer des mots de passe complexes ainsi qu’une authentification à plusieurs facteurs.

Les services informatiques internes doivent renforcer le système Microsoft Office 365 par une sécurité dédiée au courrier électronique, et surveiller régulièrement leurs environnements Microsoft Office 365 afin de pouvoir identifier les activités de connexion anormales.

Les attaques de ransomware

Les attaques de ransomwares sont un exemple classique de menaces qui est en constante évolution. Les organisations évoluent au fil du temps pour s’adapter aux nouveaux modes de travail afin de survivre et de s’épanouir.

Il en va de même pour les ransomwares.

Traditionnellement, le ransomware était considéré comme une mine enterrée.

Il reste là, à l’attente d’une malheureuse victime qui tombe dessus arbitrairement. Ceux qui ont déployé la mine n’ont aucun moyen de cibler de manière sélective ceux qui tomberont dessus.

C’était le cas des premiers logiciels de ransomwares. Ils étaient jetés comme un filet géant, sans savoir qui serait la malchanceuse victime.

En général, il était dispersé dans des attaques de phishing à grande échelle.

Dès qu’un utilisateur peu méfiant cliquait sur le lien séduisant mais malveillant, le ransomware était lancé et, en quelques minutes, il commençait à chiffrer tout ce qu’il trouvait.

Ceci étant fait, la demande de rançon est lancée. Les auteurs espéraient alors qu’un nombre suffisant de victimes paieraient.

Le ransomware est maintenant dans sa deuxième phase.

Le ransomware 2.0 est beaucoup plus complexe. Non seulement il est conçu pour échapper aux contrôles de sécurité traditionnels, mais il est souvent contrôlé manuellement.

Les attaques de ransomware 2.0 ne sont plus automatisées ni immédiates. Une fois qu’ils ont pris pied sur le réseau, les auteurs manœuvrent autour du réseau compromis à la recherche de données et d’autres ressources de grande valeur.

Après avoir localisé les données, les pirates les copient et les téléchargent vers un endroit sécurisé. C’est seulement à ce moment que le chiffrement commence.

Si la victime est en mesure de récupérer les données, les criminels menacent alors de vendre ou de divulguer les données volées.

Ils disposent ainsi de multiples moyens pour exiger de l’argent, ce qui augmente les chances de retour sur investissement.

Les attaques de phishing

Le phishing continue d’être une menace de premier plan, comme c’est le cas depuis des années. La raison en est simple : elle est facile à mettre en œuvre.

Aujourd’hui, presque tout le monde dépend du courrier électronique pour son travail, ce qui fait de presque tout le monde une cible d’une attaque de phishing.

Selon le rapport « 2020 Phishing Attack Landscape Report », les entreprises ont subi en moyenne 1 185 attaques par mois jusqu’à présent.

Le rapport comprend les résultats d’une enquête dans laquelle 38 % des personnes interrogées ont déclaré qu’un collègue de travail avait été victime d’une attaque au cours des 12 derniers mois.

Le phishing continue d’être le principal mécanisme de diffusion des ransomwares et des tentatives d’atteinte aux données sensibles des entreprises.

Il est impossible d’avoir une stratégie de cybersécurité efficace qui n’inclut pas un moyen efficace de lutter contre les attaques de phishing.

L’ingénierie sociale

L’ingénierie sociale concerne l’art de la tromperie. Il s’agit de manipuler l’essence de la nature humaine. Le phishing en est l’exemple classique, avec le spear phishing et le whaling qui font passer l’ingénierie sociale au niveau supérieur.

Les cybercriminels effectuent désormais des reconnaissances pendant des semaines ou des mois afin de déterminer les ficelles à tirer au sein d’une organisation. D’autres exemples d’ingénierie sociale sont les tailgating et le watering hole.

De toutes les menaces susmentionnées, la plus importante est, de loin, le fait que Microsoft Office365 est de plus en plus attaqué en raison de scénarios de travail à distance précipités et d’une sécurité inadéquate du courrier électronique et du web.

Pour plus d’informations sur l’amélioration de la protection de vos employés et votre entreprise contre les attaques de phishing et d’autres cybermenaces, appelez l’équipe de TitanHQ.

Vous pouvez également vous inscrire pour un essai gratuit et sans obligation de nos deux solutions de sécurité du courrier électronique et du web afin de les évaluer dans votre propre environnement.

Nouvelle attaque de phishing contre Office 365

Nouvelle attaque de phishing contre Office 365

Les cybercriminels sont des arnaqueurs.

Tout comme les escrocs d’autrefois qui utilisaient l’arnaque pour tromper des passants innocents et leur faire remettre de l’argent qu’ils ont durement gagné, les fraudeurs modernes utilisent également la confiance inhérente pour nous tromper.

La dernière escroquerie de phishing démontre très bien la psychologie de la cybercriminalité, mais avec quelques astuces.

Dans cette récente attaque de phishing, qui aurait débuté le 21 septembre 2020, les escrocs ont réutilisé leur marque favorite : Office 365. L’escroquerie tire parti de la confiance des utilisateurs dans le test CAPTCHA.

Comment fonctionne l’attaque de phishing contre Office 365

Le phishing est un outil important pour les cybercriminels. Cette technique est à l’origine de 90 % des violations de données.

Un employé sur trois clique sur un lien dans un e-mail de phishing, tandis qu’un employé sur huit consulte un site d’usurpation d’identité.

Cependant, il suffit qu’un pirate parvienne à obtenir un identifiant de connexion pour lancer une cyberattaque contre votre réseau d’entreprise.

En général, le phishing repose sur la manipulation du comportement humain. L’une des façons dont les êtres humains interagissent avec les ordinateurs consiste à utiliser un comportement inhérent connu sous le nom de « biais cognitif ».

Nous utilisons tous des préjugés dans nos décisions quotidiennes. Cela nous aide à faire des choix rapides. Ce comportement est également utilisé par des entreprises.

Par exemple,  » l’’effet d’ancrage  » (une forme de biais) est utilisé pour encourager les choix de vente. Les clients sont « ancrés » par un seul aspect d’un produit à l’exclusion des autres, et les vendeurs en tirent grand profit.

Le système CAPTCHA est utilisé sur de nombreux sites web pour vérifier que c’est bien un être humain (plutôt qu’un robot automatisé) qui saisit les informations dans des formulaires.

Ce système existe depuis de nombreuses années et nous sommes tous habitués à ce qu’il apparaisse, nous demandant de sélectionner les cellules d’une image qui montre une bouche d’incendie, une voiture, un vélo, etc.

Le biais cognitif s’installe lorsque nous interagissons de façon répétée avec les CAPTCHAS.

La dernière escroquerie de phishing « CAPTCHA » qui vise Office 365 utilise notre biais cognitif et notre confiance dans ce système comme contrôle de sécurité, ainsi que quelques autres astuces.

Voici pourquoi la dernière arnaque de phishing contre Office 365 fonctionne très bien

Une triple arnaque de phishing utilisant Office 365

Cette dernière arnaque de phishing d’Office 365 comporte plusieurs éléments qui, ensemble, en font une cyberattaque très difficile à détecter et à prévenir. Cette arnaque de phishing d’Office 365 comporte trois éléments essentiels, à savoir :

Déjouer les détecteurs

Ce qui est particulièrement astucieux dans cette attaque, c’est qu’elle utilise le système de sécurité pour réussir. Le site d’usurpation présente trois niveaux de système CAPTCHA.

Le premier est une simple case à cocher « Je suis un humain ». Le CAPTCHA suivant demande de choisir n’importe quelle case qui contient un objet spécifique, par exemple un vélo.

Les outils de recherche de malwares sont bloqués lors de la première vérification CAPTCHA et ne parviennent jamais au site qui contrôle le malware.

En fait, le site n’est accessible qu’une fois que l’utilisateur a passé avec succès le CAPTCHA numéro 3. En d’autres termes, seuls les utilisateurs humains peuvent accéder au site frauduleux.

Détection des adresses IP

L’arnaque de phishing est conçue de manière à ce que seules des plages de propriété intellectuelle spécifiques et choisies puissent accéder au site d’usurpation.

Si une tentative de détection automatique (ou manuelle) se situe en dehors de la plage d’adresses IP d’intérêt (c’est-à-dire les adresses IP de l’entreprise, victime), la tentative de détection sera redirigée vers le véritable site d’Office 365.

Cette procédure est également étendue à la vérification de la géolocalisation de la victime. C’est un moyen très efficace de prévenir la détection.

Piéger l’utilisateur

Le biais cognitif est parfait pour que le cybercriminel puisse en tirer profit, et il l’utilise intelligemment dans cette forme d’escroquerie.

Le site d’usurpation semble réel, et il utilise le système CAPTCHA.

Si un utilisateur reçoit des alertes de sécurité, telle que CAPTCHA, associées à un site d’apparence réaliste, il est plus probable qu’il ait un biais intégré qui lui permettra de se sentir suffisamment à l’aise pour entrer ses identifiants de connexion.

Selon un nouveau rapport de Microsoft, les acteurs de la menace ont rapidement gagné en sophistication au cours de l’année dernière, utilisant des techniques qui les rendent plus difficiles à repérer et qui menacent même les utilisateurs les plus avertis.

Cette arnaque de phishing en est la preuve. Les cybercriminels à l’origine de l’escroquerie utilisent des couches de protection et de la ruse pour réaliser leur objectif de vol d’identifiants de connexion ou d’installer des malwares.

Un rapport de Check Point pour le troisième trimestre 2020 a montré que Microsoft était la marque la plus utilisée par les cybercriminels pour duper les utilisateurs.

Mais il y a aussi DHL, PayPal et Apple. Cette escroquerie est peut-être axée sur Office 365, mais les cybercriminels changent de tactique, et le mois prochain, il pourrait s’agir d’un autre portail de collaboration en ligne très populaire.

Les entreprises ne doivent plus compter sur le fait que les utilisateurs soient conscients de la sécurité lorsqu’ils utilisent l’Internet.

Les cybercriminels utilisent notre propre comportement inhérent contre nous et font appel à de multiples techniques pour échapper à la détection par des solutions conventionnelles comme les pare-feu.

Elles doivent s’attendre à ce que d’autres types d’escroquerie de phishing de plus en plus astucieuse apparaisse.

Des solutions intelligentes telles que le filtrage de contenu web permettent d’empêcher vos employés à accéder à des sites web dangereux, réduisant ainsi la probabilité de violations des données de votre entreprise et d’autres cyberattaques.

Filtrage de contenu avec WebTitan Cloud

WebTitan Cloud est une solution de filtrage de contenu web basée sur le DNS qui offre une protection complète contre les virus, les malwares, les ransomwares, les attaques de phishing et un filtrage complet du contenu.

WebTitan Cloud est une solution qui ne requiert aucune maintenance et qui peut être configurée en cinq minutes pour empêcher vos utilisateurs d’accéder à des contenus inappropriés en ligne.

Notre moteur intelligent de catégorisation de contenu en temps réel, piloté par l’Intelligence artificielle, combine un antivirus de pointe et une architecture basée dans le cloud.

Cela fait de WebTitan Cloud une solution idéale pour les organisations qui ont besoin d’une protection maximale et d’une maintenance minimale.

Contactez notre équipe dès aujourd’hui et découvrez comment nos puissants outils de filtrage de contenu web peuvent aider votre entreprise.

SharePoint et OneDrive : les marques parfaites pour une attaque de phishing

SharePoint et OneDrive : les marques parfaites pour une attaque de phishing

Les escrocs du phishing savent vraiment tirer profit d’une situation, comme la pandémie du Covid-19. Les changements survenus dans le monde des affaires pendant cette période ont été sans précédent.

Les employés sont rapidement transférés vers le travail à domicile, ce qui est facilité par l’utilisation des technologies numériques.

Cela a créé une opportunité parfaite dont les escrocs du phishing ont profité. Le résultat : une augmentation de 30 000 % des menaces basées sur le Covid-19, aidée par des sites web armés et d’e-mails de phishing.

Les sites web malveillants ont contribué à ce fait, mais surtout les plateformes de collaboration à distance que les entreprises utilisent.

Au cours du premier semestre 2020, SharePoint, OneDrive et d’autres portails se sont révélés être un moyen idéal pour améliorer le taux de réussite d’une campagne de phishing.

Sécuriser les portails de collaboration en ligne

L’évolution du phishing est, bien sûr, conforme à l’évolution de la technologie.

Jusqu’à une date assez récente, une méthode typique utilisée dans les e-mails de phishing pour installer un malware sur un appareil consistait à télécharger un malware sous forme de pièce jointe infectée, généralement un document Office ou PDF.

Cette méthode correspondait à l’utilisation des e-mails par les employés pour partager des documents. Elle a été couronnée de succès et se poursuit encore jusqu’à maintenant.

Cependant, comme les entreprises se tournent de plus en plus vers l’utilisation de portails de collaboration en ligne, les employés sont moins susceptibles de partager des documents via la messagerie électronique.

En réponse à ce changement, les cybercriminels modifient leurs tactiques.

Au lieu d’envoyer des e-mails contenant des documents infectés par des malwares, ils se servent du fonctionnement des portails de collaboration en ligne.

En fait, ils envoient des e-mails contenant des liens partagés vers des documents ou d’autres fichiers.

Toutes ces plates-formes risquent d’être utilisées à mauvais escient par des campagnes de phishing via des liens malveillants dans des courriers électroniques dont l’apparence est celle du portail authentique.

Sachez toutefois que ces escroqueries de phishing se concentrent actuellement sur SharePoint et OneDrive.

Comment fonctionne l’escroquerie de phishing de SharePoint et OneDrive ?

Proofpoint a alerté le monde sur les dernières escroqueries visant son portail de collaboration, impliquant SharePoint et OneDrive. L’un des aspects les plus inquiétants de ces campagnes de phishing était le taux de réussite élevé.

En réalité, Proofpoint a constaté que les utilisateurs avaient 7 fois plus de chances de cliquer sur un lien malveillant SharePoint ou OneDrive. Il y a des raisons essentielles à cela, qui sont au cœur du fonctionnement de ce type d’escroquerie.

Le phishing est autant une question de comportement humain que de technologie. Les cybercriminels savent que le fait de piéger les utilisateurs pour qu’ils accomplissent une action peut effectivement faire le travail à leur place.

Pour amener un utilisateur à faire quelque chose, il faut de la « confiance ». C’est cet élément de confiance que les escrocs utilisent lorsqu’ils usurpent des marques connues, telles que SharePoint et OneDrive.

Au cours des premier et deuxième trimestres de 2020, 5,9 millions d’e-mails contenant des liens malveillants vers SharePoint et OneDrive ont été détectés.

Cela peut sembler beaucoup, mais cela ne représente que 1 % du nombre total des e-mails de phishing malveillants envoyés chaque jour dans le monde.

Un point important, cependant, est que ce 1 % représente 13 % des clics des utilisateurs, entraînant ainsi le téléchargement de liens malveillants.

En fait, les utilisateurs cliquent sur ces liens, car ils croient qu’il s’agit d’un e-mail légitime qui leur demande de collaborer à un travail.

L’objectif de ces e-mails de phishing est la prise de contrôle du compte d’un utilisateur. Proofpoint a pu utiliser ses recherches pour analyser le cycle de vie du phishing, qui est décomposé ci-dessous en plusieurs étapes :

Étape 1 : Un compte dans le cloud est compromis. Ceci peut être réalisé en utilisant un e-mail de spear-phishing.

Étape 2 : Un fichier malveillant est téléchargé sur le compte compromis. Les autorisations de partage sont définies sur « Public » et le lien anonyme est généré et partagé.

Voici plusieurs exemples de fichiers malveillants fournis par Proofpoint :

Exemple 1 : Un fichier PDF qui se présente comme une facture. La facture exige de l’utilisateur qu’il clique sur un lien. Celui-ci l’amène ensuite à une page de connexion OneDrive usurpée qui vole les informations d’identification saisies dans les champs de connexion.

Exemple 2 : Un fichier de messagerie vocale OneNote hébergé sur SharePoint. Le fichier OneNote contient un malware. Tout utilisateur qui ouvre le fichier pour écouter le message vocal pourrait être infecté par le malware.

Étape 3 : Le lien est envoyé à des cibles internes et externes. Ce lien est généralement une URL de redirection et est difficile à détecter à l’aide de méthodes conventionnelles.

Étape 4 : Le destinataire ouvre le courrier électronique et s’il clique sur le lien, il est dirigé vers une page de connexion SharePoint/OneDrive d’apparence douteuse, mais légitime. Le processus recommence alors, à l’infini.

Proofpoint a trouvé 5 500 utilisateurs qui avaient un compte compromis, ce qui représente une grande partie de la clientèle de Microsoft.

Une fois les identifiants de connexion volés, les pirates peuvent les utiliser pour accéder aux comptes réels des victimes sur SharePoint ou OneDrive et voler des informations sur leur entreprise, compromettre d’autres comptes et même réaliser d’autres escroqueries, notamment le Business Email Compromise (BEC).

Comment éviter que votre organisation ne soit victime d’une escroquerie à un portail de collaboration en ligne ?

Les recherches d’un consortium composé de Google, PayPal, Samsung et l’Université d’État de l’Arizona ont examiné les niveaux de menace du phishing. Le rapport qui en résulte fait une observation importante.

Les attaques réussies font appel à une ingénierie sociale très sophistiquée, complétée par des techniques de détection et d’évasion.

Le rapport note également que les 5 % des attaques les plus importantes sont responsables de 78 % des clics réussis vers un site malveillant. Pour dire les choses simplement, les escroqueries par phishing sont de plus en plus difficiles à prévenir.

La sensibilisation à la sécurité ne suffit pas à empêcher les utilisateurs de cliquer sur des liens malveillants et d’être manipulés pour entrer des données de connexion et d’autres informations sensibles.

Les escrocs du phishing sont passés maîtres dans l’art de la manipulation comportementale intelligente. Comme toutes les approches visant à atténuer les menaces pour la sécurité, une approche proactive et à plusieurs niveaux est la plus efficace.

Les entreprises doivent renforcer la formation à la sensibilisation à la sécurité en utilisant des outils puissants et intelligents qui empêchent un utilisateur d’être dirigé vers un site web frauduleux même s’il clique sur un lien malveillant.

Ces outils devraient inclure l’utilisation d’une plateforme de filtrage de contenu web. Celle-ci empêche les employés de naviguer sur des sites web dangereux et réduit les risques de violation des données de l’entreprise et d’autres cyberattaques.

Les cybercriminels s’attaquent aux comptes Microsoft Teams

Les cybercriminels s’attaquent aux comptes Microsoft Teams

Comme de nombreux employés travaillent actuellement à domicile, les cybercriminels ont modifié leur tactique en créant des e-mails de phishing, de façon à ce qu’ils ressemblent à de nombreux outils de collaboration sur le marché.

L’une de ces attaques vise les entreprises qui utilisent Microsoft Teams.

Microsoft Teams est un outil de collaboration très prisé par les entreprises, et les récents e-mails de phishing incitent les utilisateurs à divulguer leurs identifiants système via cette plateforme.

L’attaque est dévastatrice pour les entreprises, car Microsoft Teams stocke des informations sur les utilisateurs et la propriété intellectuelle qui pourraient causer des dommages à l’entreprise si elles tombent entre les mains des cybercriminels.

Comment les cybercriminels s’attaquent aux comptes Microsoft Teams ?

Si vous connaissez Microsoft Teams, vous savez que l’activité sur la plateforme déclenche l’envoi d’un message aux utilisateurs.

Lorsqu’un message est envoyé à un utilisateur particulier, celui-ci reçoit un e-mail pour l’avertir qu’il a reçu un message. L’utilisateur peut cliquer directement sur un lien dans l’e-mail ou répondre au message dans Microsoft Teams.

Pour ce dernier cas, lorsque l’utilisateur clique sur le lien, le site de Microsoft Teams s’ouvre et il peut se connecter à son compte afin de répondre au message.

Pour la nouvelle attaque utilisant Microsoft Teams, les cybercriminels envoient un e-mail à l’utilisateur ciblé avec un message qui dit « There’s new activity in Teams » et qui fait apparaître le message comme une notification automatisée de Microsoft Teams.

Il informe ensuite l’utilisateur que ses coéquipiers essaient de le joindre et l’invite à cliquer sur le lien « Reply in Teams ». En faisant cela, l’utilisateur ouvre une page contrôlée par l’attaquant qui l’incite à entrer ses informations d’identification.

Il est facile d’être victime d’une telle attaque, car la page de phishing est conçue pour ressembler à la page de connexion officielle de Microsoft Teams.

Les utilisateurs qui ne regardent pas l’URL dans leur navigateur web vont rapidement entrer leurs informations d’identification, et à ce stade, il sera trop tard.

Une fois que les informations d’identification sont envoyées à l’attaquant, celui-ci peut alors les utiliser pour se connecter à d’autres comptes, y compris au réseau d’entreprises.

Si l’utilisateur se rend rapidement compte de l’erreur, les informations d’identification peuvent être modifiées, mais pour les entreprises, cela peut nécessiter un appel au support informatique afin de s’assurer que les autres zones du réseau sont protégées contre les éventuelles menaces.

Jusqu’au moment où les informations d’identification et les comptes sont sécurisés, l’attaquant peut déjà compromettre le réseau informatique de l’organisation.

Comment mettre fin aux attaques de phishing utilisant Microsoft Teams ?

Les utilisateurs de cet outil en ligne doivent savoir qu’une nouvelle attaque de Microsoft Teams vise les comptes de messagerie des entreprises, mais même les utilisateurs éduqués pourraient être victimes d’une attaque bien conçue.

Il est préférable de ne pas se connecter à un site web après avoir cliqué sur un lien dans un e-mail. Saisissez plutôt le domaine dans le navigateur et entrez les informations d’identification à cet endroit.

Les utilisateurs peuvent également prendre note du domaine dans l’URL pour s’assurer que le site web est bien le domaine officiel de Microsoft.

Les entreprises ne devraient pas compter uniquement sur les utilisateurs pour reconnaître les attaques de phishing.

Même les utilisateurs qui connaissent bien les attaques de phishing et leurs drapeaux rouges peuvent être occupés un jour, cliquer sur un lien dans un e-mail et être trop distraits pour se rendre compte qu’ils sont redirigés vers un site malveillant.

Au lieu de se fier uniquement aux utilisateurs, les administrateurs peuvent utiliser la cybersécurité des e-mails pour bloquer les sites de phishing et bien d’autres qui envoient des pièces jointes malveillantes.

La cybersécurité de la messagerie électronique empêche les e-mails de phishing d’arriver dans la boîte de réception des utilisateurs finaux.

Les attaquants utilisent des adresses électroniques d’expéditeurs usurpées, et cette tactique ne fonctionne pas lorsque l’organisation met en œuvre des enregistrements SPF (Sender Policy Framework) sur son serveur DNS.

Un enregistrement SPF indique au serveur du destinataire de rejeter ou de mettre en quarantaine les messages qui proviennent d’un serveur d’e-mail qui n’est pas répertorié sur le serveur DNS.

Les messages qui ne passent pas le protocole SPF peuvent être mis en quarantaine, complètement abandonnés, ou ils vont dans la boîte à spam de l’utilisateur.

Les messages mis en quarantaine peuvent être examinés par les administrateurs pour s’assurer qu’il ne s’agit pas d’un faux positif, mais une avalanche d’e-mails de phishing pourrait signifier que l’organisation est attaquée par un cybercriminel.

L’avantage de l’utilisation de la sécurisation des e-mails avec une fonction de mise en quarantaine est qu’elle aide les administrateurs à identifier les attaques et à alerter les utilisateurs et à éviter les frustrations dues aux faux positifs.

Une autre fonction de cybersécurité des e-mails est le DMARC (Domain-based Message Authentication, Reporting & Conformance).

Le SPF fait partie des normes DMARC, mais votre cybersécurité des e-mails devrait inclure les règles DMARC. Ces règles indiqueront au serveur ce qu’il doit faire lorsqu’un e-mail suspect est reçu.

Les administrateurs utilisent le protocole DMARC pour mettre fin aux e-mails de phishing ainsi qu’à ceux contenant des pièces jointes malveillantes qui pourraient être utilisées pour compromettre le dispositif local de l’utilisateur.

Les règles DMARC et SPF sont la base d’une bonne sécurité des e-mails, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft.

Les utilisateurs devraient toujours être formés à la détection de ces attaques, mais le fait de bloquer les e-mails pour qu’ils n’atteignent pas la boîte de réception du destinataire est le meilleur moyen d’empêcher votre organisation de devenir la prochaine victime d’une violation de données.

Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Les courriers électroniques de phishing sont-ils toujours délivrés ?

Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité la protection Exchange Online Protection (EOP) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.

Une étude a montré que 25 % des e-mails de phishing n’étaient pas bloqués par l’EOP.

Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez utiliser une solution antispam et antiphishing tierce en plus de l’EOP, mais qui offre une meilleure protection, comme SpamTitan.

Si vous bloquez davantage d’e-mails de phishing, la sécurité de votre réseau sera bien meilleure, mais vous ne devriez pas vous arrêter là.

Aucune solution antiphishing ne pourra bloquer toutes les attaques de phishing, 100% du temps.

Il suffit qu’un utilisateur clique sur un e-mail de phishing pour qu’une violation de données se produise. Vous devez ajouter une autre couche à vos défenses.

Une solution de filtrage DNS offre une protection contre les attaques de phishing.

Lorsqu’un employé clique sur un lien dans un e-mail et est dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware est téléchargé, toute tentative d’accès au site sera bloquée.

Un filtre DNS bloque les tentatives d’accès aux sites de phishing au stade de la consultation du DNS, avant le téléchargement de tout contenu web.

Si un employé tente d’accéder à un site de phishing, il sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne se produise.

Les filtres DNS peuvent également bloquer le téléchargement de malwares à partir de sites qui ne sont pas encore connus pour être malveillants.

La mise en œuvre d’une solution efficace pour la cybersécurité des e-mails n’est pas toujours simple et elle nécessite de la planification et de l’expertise.

S’appuyer sur une seule couche de sécurité n’est plus judicieux face à la recrudescence des menaces en ligne.

De plus, les organisations doivent se concentrer sur les données qu’elles protègent et mettre en place des couches de sécurité autour de celles-ci. Vos clients vous en remercieront et vos résultats seront meilleurs.

Si vous souhaitez savoir comment TitanHQ peut vous permettre de mettre en œuvre une approche globale de la sécurité contre les menaces en ligne pour vos employés et vos clients, contactez-nous dès aujourd’hui.