Les escrocs du phishing savent vraiment tirer profit d’une situation, comme la pandémie du Covid-19. Les changements survenus dans le monde des affaires pendant cette période ont été sans précédent.
Les employés sont rapidement transférés vers le travail à domicile, ce qui est facilité par l’utilisation des technologies numériques.
Cela a créé une opportunité parfaite dont les escrocs du phishing ont profité. Le résultat : une augmentation de 30 000 % des menaces basées sur le Covid-19, aidée par des sites web armés et d’e-mails de phishing.
Les sites web malveillants ont contribué à ce fait, mais surtout les plateformes de collaboration à distance que les entreprises utilisent.
Au cours du premier semestre 2020, SharePoint, OneDrive et d’autres portails se sont révélés être un moyen idéal pour améliorer le taux de réussite d’une campagne de phishing.
Sécuriser les portails de collaboration en ligne
L’évolution du phishing est, bien sûr, conforme à l’évolution de la technologie.
Jusqu’à une date assez récente, une méthode typique utilisée dans les e-mails de phishing pour installer un malware sur un appareil consistait à télécharger un malware sous forme de pièce jointe infectée, généralement un document Office ou PDF.
Cette méthode correspondait à l’utilisation des e-mails par les employés pour partager des documents. Elle a été couronnée de succès et se poursuit encore jusqu’à maintenant.
Cependant, comme les entreprises se tournent de plus en plus vers l’utilisation de portails de collaboration en ligne, les employés sont moins susceptibles de partager des documents via la messagerie électronique.
En réponse à ce changement, les cybercriminels modifient leurs tactiques.
Au lieu d’envoyer des e-mails contenant des documents infectés par des malwares, ils se servent du fonctionnement des portails de collaboration en ligne.
En fait, ils envoient des e-mails contenant des liens partagés vers des documents ou d’autres fichiers.
Toutes ces plates-formes risquent d’être utilisées à mauvais escient par des campagnes de phishing via des liens malveillants dans des courriers électroniques dont l’apparence est celle du portail authentique.
Sachez toutefois que ces escroqueries de phishing se concentrent actuellement sur SharePoint et OneDrive.
Comment fonctionne l’escroquerie de phishing de SharePoint et OneDrive ?
Proofpoint a alerté le monde sur les dernières escroqueries visant son portail de collaboration, impliquant SharePoint et OneDrive. L’un des aspects les plus inquiétants de ces campagnes de phishing était le taux de réussite élevé.
En réalité, Proofpoint a constaté que les utilisateurs avaient 7 fois plus de chances de cliquer sur un lien malveillant SharePoint ou OneDrive. Il y a des raisons essentielles à cela, qui sont au cœur du fonctionnement de ce type d’escroquerie.
Le phishing est autant une question de comportement humain que de technologie. Les cybercriminels savent que le fait de piéger les utilisateurs pour qu’ils accomplissent une action peut effectivement faire le travail à leur place.
Pour amener un utilisateur à faire quelque chose, il faut de la « confiance ». C’est cet élément de confiance que les escrocs utilisent lorsqu’ils usurpent des marques connues, telles que SharePoint et OneDrive.
Au cours des premier et deuxième trimestres de 2020, 5,9 millions d’e-mails contenant des liens malveillants vers SharePoint et OneDrive ont été détectés.
Cela peut sembler beaucoup, mais cela ne représente que 1 % du nombre total des e-mails de phishing malveillants envoyés chaque jour dans le monde.
Un point important, cependant, est que ce 1 % représente 13 % des clics des utilisateurs, entraînant ainsi le téléchargement de liens malveillants.
En fait, les utilisateurs cliquent sur ces liens, car ils croient qu’il s’agit d’un e-mail légitime qui leur demande de collaborer à un travail.
L’objectif de ces e-mails de phishing est la prise de contrôle du compte d’un utilisateur. Proofpoint a pu utiliser ses recherches pour analyser le cycle de vie du phishing, qui est décomposé ci-dessous en plusieurs étapes :
Étape 1 : Un compte dans le cloud est compromis. Ceci peut être réalisé en utilisant un e-mail de spear-phishing.
Étape 2 : Un fichier malveillant est téléchargé sur le compte compromis. Les autorisations de partage sont définies sur « Public » et le lien anonyme est généré et partagé.
Voici plusieurs exemples de fichiers malveillants fournis par Proofpoint :
Exemple 1 : Un fichier PDF qui se présente comme une facture. La facture exige de l’utilisateur qu’il clique sur un lien. Celui-ci l’amène ensuite à une page de connexion OneDrive usurpée qui vole les informations d’identification saisies dans les champs de connexion.
Exemple 2 : Un fichier de messagerie vocale OneNote hébergé sur SharePoint. Le fichier OneNote contient un malware. Tout utilisateur qui ouvre le fichier pour écouter le message vocal pourrait être infecté par le malware.
Étape 3 : Le lien est envoyé à des cibles internes et externes. Ce lien est généralement une URL de redirection et est difficile à détecter à l’aide de méthodes conventionnelles.
Étape 4 : Le destinataire ouvre le courrier électronique et s’il clique sur le lien, il est dirigé vers une page de connexion SharePoint/OneDrive d’apparence douteuse, mais légitime. Le processus recommence alors, à l’infini.
Proofpoint a trouvé 5 500 utilisateurs qui avaient un compte compromis, ce qui représente une grande partie de la clientèle de Microsoft.
Une fois les identifiants de connexion volés, les pirates peuvent les utiliser pour accéder aux comptes réels des victimes sur SharePoint ou OneDrive et voler des informations sur leur entreprise, compromettre d’autres comptes et même réaliser d’autres escroqueries, notamment le Business Email Compromise (BEC).
Comment éviter que votre organisation ne soit victime d’une escroquerie à un portail de collaboration en ligne ?
Les recherches d’un consortium composé de Google, PayPal, Samsung et l’Université d’État de l’Arizona ont examiné les niveaux de menace du phishing. Le rapport qui en résulte fait une observation importante.
Les attaques réussies font appel à une ingénierie sociale très sophistiquée, complétée par des techniques de détection et d’évasion.
Le rapport note également que les 5 % des attaques les plus importantes sont responsables de 78 % des clics réussis vers un site malveillant. Pour dire les choses simplement, les escroqueries par phishing sont de plus en plus difficiles à prévenir.
La sensibilisation à la sécurité ne suffit pas à empêcher les utilisateurs de cliquer sur des liens malveillants et d’être manipulés pour entrer des données de connexion et d’autres informations sensibles.
Les escrocs du phishing sont passés maîtres dans l’art de la manipulation comportementale intelligente. Comme toutes les approches visant à atténuer les menaces pour la sécurité, une approche proactive et à plusieurs niveaux est la plus efficace.
Les entreprises doivent renforcer la formation à la sensibilisation à la sécurité en utilisant des outils puissants et intelligents qui empêchent un utilisateur d’être dirigé vers un site web frauduleux même s’il clique sur un lien malveillant.
Ces outils devraient inclure l’utilisation d’une plateforme de filtrage de contenu web. Celle-ci empêche les employés de naviguer sur des sites web dangereux et réduit les risques de violation des données de l’entreprise et d’autres cyberattaques.
Comme de nombreux employés travaillent actuellement à domicile, les cybercriminels ont modifié leur tactique en créant des e-mails de phishing, de façon à ce qu’ils ressemblent à de nombreux outils de collaboration sur le marché.
L’une de ces attaques vise les entreprises qui utilisent Microsoft Teams.
Microsoft Teams est un outil de collaboration très prisé par les entreprises, et les récents e-mails de phishing incitent les utilisateurs à divulguer leurs identifiants système via cette plateforme.
L’attaque est dévastatrice pour les entreprises, car Microsoft Teams stocke des informations sur les utilisateurs et la propriété intellectuelle qui pourraient causer des dommages à l’entreprise si elles tombent entre les mains des cybercriminels.
Comment les cybercriminels s’attaquent aux comptes Microsoft Teams ?
Si vous connaissez Microsoft Teams, vous savez que l’activité sur la plateforme déclenche l’envoi d’un message aux utilisateurs.
Lorsqu’un message est envoyé à un utilisateur particulier, celui-ci reçoit un e-mail pour l’avertir qu’il a reçu un message. L’utilisateur peut cliquer directement sur un lien dans l’e-mail ou répondre au message dans Microsoft Teams.
Pour ce dernier cas, lorsque l’utilisateur clique sur le lien, le site de Microsoft Teams s’ouvre et il peut se connecter à son compte afin de répondre au message.
Pour la nouvelle attaque utilisant Microsoft Teams, les cybercriminels envoient un e-mail à l’utilisateur ciblé avec un message qui dit « There’s new activity in Teams » et qui fait apparaître le message comme une notification automatisée de Microsoft Teams.
Il informe ensuite l’utilisateur que ses coéquipiers essaient de le joindre et l’invite à cliquer sur le lien « Reply in Teams ». En faisant cela, l’utilisateur ouvre une page contrôlée par l’attaquant qui l’incite à entrer ses informations d’identification.
Il est facile d’être victime d’une telle attaque, car la page de phishing est conçue pour ressembler à la page de connexion officielle de Microsoft Teams.
Les utilisateurs qui ne regardent pas l’URL dans leur navigateur web vont rapidement entrer leurs informations d’identification, et à ce stade, il sera trop tard.
Une fois que les informations d’identification sont envoyées à l’attaquant, celui-ci peut alors les utiliser pour se connecter à d’autres comptes, y compris au réseau d’entreprises.
Si l’utilisateur se rend rapidement compte de l’erreur, les informations d’identification peuvent être modifiées, mais pour les entreprises, cela peut nécessiter un appel au support informatique afin de s’assurer que les autres zones du réseau sont protégées contre les éventuelles menaces.
Jusqu’au moment où les informations d’identification et les comptes sont sécurisés, l’attaquant peut déjà compromettre le réseau informatique de l’organisation.
Comment mettre fin aux attaques de phishing utilisant Microsoft Teams ?
Les utilisateurs de cet outil en ligne doivent savoir qu’une nouvelle attaque de Microsoft Teams vise les comptes de messagerie des entreprises, mais même les utilisateurs éduqués pourraient être victimes d’une attaque bien conçue.
Il est préférable de ne pas se connecter à un site web après avoir cliqué sur un lien dans un e-mail. Saisissez plutôt le domaine dans le navigateur et entrez les informations d’identification à cet endroit.
Les utilisateurs peuvent également prendre note du domaine dans l’URL pour s’assurer que le site web est bien le domaine officiel de Microsoft.
Les entreprises ne devraient pas compter uniquement sur les utilisateurs pour reconnaître les attaques de phishing.
Même les utilisateurs qui connaissent bien les attaques de phishing et leurs drapeaux rouges peuvent être occupés un jour, cliquer sur un lien dans un e-mail et être trop distraits pour se rendre compte qu’ils sont redirigés vers un site malveillant.
Au lieu de se fier uniquement aux utilisateurs, les administrateurs peuvent utiliser la cybersécurité des e-mails pour bloquer les sites de phishing et bien d’autres qui envoient des pièces jointes malveillantes.
La cybersécurité de la messagerie électronique empêche les e-mails de phishing d’arriver dans la boîte de réception des utilisateurs finaux.
Les attaquants utilisent des adresses électroniques d’expéditeurs usurpées, et cette tactique ne fonctionne pas lorsque l’organisation met en œuvre des enregistrements SPF (Sender Policy Framework) sur son serveur DNS.
Un enregistrement SPF indique au serveur du destinataire de rejeter ou de mettre en quarantaine les messages qui proviennent d’un serveur d’e-mail qui n’est pas répertorié sur le serveur DNS.
Les messages qui ne passent pas le protocole SPF peuvent être mis en quarantaine, complètement abandonnés, ou ils vont dans la boîte à spam de l’utilisateur.
Les messages mis en quarantaine peuvent être examinés par les administrateurs pour s’assurer qu’il ne s’agit pas d’un faux positif, mais une avalanche d’e-mails de phishing pourrait signifier que l’organisation est attaquée par un cybercriminel.
L’avantage de l’utilisation de la sécurisation des e-mails avec une fonction de mise en quarantaine est qu’elle aide les administrateurs à identifier les attaques et à alerter les utilisateurs et à éviter les frustrations dues aux faux positifs.
Une autre fonction de cybersécurité des e-mails est le DMARC (Domain-based Message Authentication, Reporting & Conformance).
Le SPF fait partie des normes DMARC, mais votre cybersécurité des e-mails devrait inclure les règles DMARC. Ces règles indiqueront au serveur ce qu’il doit faire lorsqu’un e-mail suspect est reçu.
Les administrateurs utilisent le protocole DMARC pour mettre fin aux e-mails de phishing ainsi qu’à ceux contenant des pièces jointes malveillantes qui pourraient être utilisées pour compromettre le dispositif local de l’utilisateur.
Les règles DMARC et SPF sont la base d’une bonne sécurité des e-mails, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft.
Les utilisateurs devraient toujours être formés à la détection de ces attaques, mais le fait de bloquer les e-mails pour qu’ils n’atteignent pas la boîte de réception du destinataire est le meilleur moyen d’empêcher votre organisation de devenir la prochaine victime d’une violation de données.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Les courriers électroniques de phishing sont-ils toujours délivrés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité la protection Exchange Online Protection (EOP) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25 % des e-mails de phishing n’étaient pas bloqués par l’EOP.
Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez utiliser une solution antispam et antiphishing tierce en plus de l’EOP, mais qui offre une meilleure protection, comme SpamTitan.
Si vous bloquez davantage d’e-mails de phishing, la sécurité de votre réseau sera bien meilleure, mais vous ne devriez pas vous arrêter là.
Aucune solution antiphishing ne pourra bloquer toutes les attaques de phishing, 100% du temps.
Il suffit qu’un utilisateur clique sur un e-mail de phishing pour qu’une violation de données se produise. Vous devez ajouter une autre couche à vos défenses.
Lorsqu’un employé clique sur un lien dans un e-mail et est dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware est téléchargé, toute tentative d’accès au site sera bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing au stade de la consultation du DNS, avant le téléchargement de tout contenu web.
Si un employé tente d’accéder à un site de phishing, il sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne se produise.
Les filtres DNS peuvent également bloquer le téléchargement de malwares à partir de sites qui ne sont pas encore connus pour être malveillants.
La mise en œuvre d’une solution efficace pour la cybersécurité des e-mails n’est pas toujours simple et elle nécessite de la planification et de l’expertise.
S’appuyer sur une seule couche de sécurité n’est plus judicieux face à la recrudescence des menaces en ligne.
De plus, les organisations doivent se concentrer sur les données qu’elles protègent et mettre en place des couches de sécurité autour de celles-ci. Vos clients vous en remercieront et vos résultats seront meilleurs.
Si vous souhaitez savoir comment TitanHQ peut vous permettre de mettre en œuvre une approche globale de la sécurité contre les menaces en ligne pour vos employés et vos clients, contactez-nous dès aujourd’hui.
Les applications de visioconférence sont d’une valeur inestimable pendant la pandémie de coronavirus.
Elles ont aidé les entreprises à poursuivre leurs activités pendant une période extrêmement difficile et ont contribué à soutenir une main-d’œuvre en grande partie éloignée.
Le nombre d’utilisateurs des plates-formes telles que Zoom, Skype et Microsoft Teams a monté en flèche à la suite de l’imposition du confinement, et cela s’est poursuivi, même si le confinement s’est relâché.
La popularité de ces plateformes n’a pas échappé aux cybercriminels et ils ont conçu de nombreuses campagnes de phishing qui ciblent leurs utilisateurs.
Les plateformes de visioconférence sont utilisées comme services de messagerie instantanée par de nombreux travailleurs qui travaillent chez eux.
Ainsi, lorsqu’un message arrive dans leurs boîtes de réception, les informant que des personnes essaient de se connecter, qu’ils ont manqué une réunion ou qu’il y a un problème avec leur compte, ils sont susceptibles de répondre rapidement, souvent sans réfléchir à la légitimité de la demande.
À première vue, les emails de phishing semblent authentiques. La demande est crédible, les images et les logos sont légitimes, mais un examen plus attentif devrait révéler que les messages ne sont pas ce qu’ils semblent être.
Escroqueries de phishing via Microsoft Teams
L’une des dernières campagnes de phishing utilise la plateforme de visioconférence Microsoft Teams afin de cibler les utilisateurs d’Office 365.
Les messages informent le destinataire qu’il y a une nouvelle activité dans les Microsoft Teams et que ses collaborateurs essaient de le joindre sur cette plateforme.
L’email prétend que les messages sont en attente, et qu’il est nécessaire cliquer sur un lien pour se connecter.
En cliquant sur le lien, l’utilisateur sera dirigé vers une page web qui lui demandera de se connecter à son compte Microsoft. Tout ce qu’il voit sur la page semble normal, car la page de connexion usurpée a été copiée de Microsoft.
Cependant, un examen attentif de l’URL révélera une erreur de frappe. L’URL commence par « microsftteams » pour que la page web paraisse authentique, mais l’URL complète montre qu’il ne s’agit pas du nom de domaine légitime de Microsoft.
Si l’utilisateur saisit ses identifiants sur cette page, ils seront capturés et utilisés par les escrocs pour accéder à son compte.
C’est loin d’être la seule escroquerie de phishing visant les utilisateurs de Microsoft Teams pour obtenir des informations d’identification Microsoft Office.
De nombreuses autres escroqueries de phishing tentaient déjà d’obtenir des identifiants en utilisant des messages manqués de collaborateurs et d’autres leurres plausibles.
Les informations d’identification Microsoft Office sont extrêmement précieuses pour les escrocs
Les comptes peuvent être utilisés :
Pour accéder aux données de messagerie
Pour envoyer d’autres emails de phishing
Pour accéder à la propriété intellectuelle
Pour servir de rampe de lancement pour d’autres attaques contre une entreprise
En outre, les identifiants de connexion peuvent être vendus à d’autres cybercriminels.
Des escroqueries similaires ont visé les utilisateurs d’autres plateformes telles que Skype et Zoom.
Les utilisateurs de ces dernières ont été ciblés dans le cadre d’une campagne qui prétendait qu’une réunion avait été annulée en raison de la pandémie.
Les pirates utilisaient des objets tels que « Réunion annulée, pourrions-nous faire un appel sur Zoom ? ».
Un lien est inclus dans le courriel pour permettre à la victime de lancer un appel, mais une fois qu’elle clique dessus, il est redirigé vers un site où ses identifiants de connexion pourraient être récoltés par les pirates.
Comment éviter les escroqueries de phishing sur les plateformes de visioconférence ?
Comme pour les autres formes d’escroquerie de phishing, les employés doivent être vigilants. Les emails créent souvent un sentiment d’urgence et il peut y avoir une sorte de menace si aucune mesure n’est prise.
Le plus important est de prendre un peu du temps pour vérifier soigneusement l’email et pour analyser l’authenticité de la demande.
Vous ne devez pas ouvrir les pièces jointes ni cliquer sur les liens intégrés à des emails non sollicités, en particulier les messages envoyés à partir d’adresses électroniques inconnues.
Même si l’adresse électronique semble authentique, faites attention. Accédez à la plate-forme de visioconférence en utilisant votre méthode de connexion habituelle, sans jamais utiliser les liens contenus dans les emails.
Les entreprises peuvent protéger leurs travailleurs à distance en mettant en œuvre une solution de filtrage du spam avancée telle que SpamTitan pour bloquer ces emails malveillants à la source et pour s’assurer qu’ils n’atterrissent pas dans les boîtes de réception de leurs destinataires.
L’utilisation d’une solution de filtrage web telle que WebTitan est également conseillée, car elle bloquera les tentatives de visite de sites web malveillants.
Pour plus d’informations sur le filtrage du spam et le filtrage web et pour mieux protéger vos employés distants contre les attaques de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.
Les deux solutions sont disponibles en essai gratuit pour vous permettre d’évaluer leur efficacité avant de prendre une décision.
Le filtrage de contenu web fait partie d’une approche à plusieurs niveaux de protection contre les cyberattaques. Microsoft Office 365 est une plateforme incroyablement populaire.
Bien entendu, à ce niveau, cette plateforme est également populaire auprès des cybercriminels, car les fraudeurs adorent usurper des marques connues et de confiances.
Plusieurs rapports ont identifié Microsoft Office 365 comme étant la plateforme préférée des auteurs de phishing.
Pour protéger les utilisateurs d’Office 365, vous pouvez vous tourner vers une technologie plus efficace qui se présente sous la forme d’un filtre de contenu. Plus précisément, il s’agit d’un filtre DNS.
Pourquoi est-ce nécessaire et comment cela peut-il aider votre entreprise à contrer les attaques de phishing contre Office 365 ?
Quels sont les principaux types de cybermenaces qui visent Microsoft Office 365 ?
Office 365 a toujours été une cible pour les cybercriminels, car c’est une marque connue et de confiance. Cette confiance peut être manipulée par les cybercriminels et utilisée pour alimenter des cyberattaques basées sur l’ingénierie sociale.
Les organisations doivent être conscientes des domaines dans lesquels ces menaces sont concentrées afin de pouvoir renforcer leurs systèmes et leurs processus.
Le phishing est une méthode courante utilisée par les fraudeurs pour voler les identifiants de connexion aux comptes d’utilisateurs d’Office 365.
Une fois qu’ils parviennent à usurper un compte, ils peuvent voler des données et des informations sensibles.
Lors de la pandémie du Covid-19, on a assisté à une intensification des attaques contre la plateforme avec comme cible, les utilisateurs d’Office 365 par des e-mails de phishing.
Un exemple récent d’une campagne de phishing liée au Covid-19 avait pour titre » Formation COVID-19 pour les employés « .
Les destinataires des e-mails malveillants étaient invités à cliquer sur un lien qui les amenaient à une page de connexion usurpée d’Office 365.
Si un utilisateur entrait ses identifiants Office 365 via la page malveillante, ceux-ci étaient volés et utilisés par les pirates pour qu’ils puissent se connecter au véritable portail Office 365 de la victime.
Les hauts responsables qui utilisent Microsoft Office 365 sont également en danger.
Trend Micro a identifié une campagne de Business Email Compromise (BEC) qui utilise le phishing et usurpe les pages de connexion d’Office 365 pour tenter de voler leurs identifiants de connexion.
Une fois que le pirate est en possession du compte de l’utilisateur d’Office 365, il crée des factures et/ou falsifie des informations bancaires pour rediriger les subalternes du haut responsable à transférer des fonds vers son propre compte bancaire.
À ce jour, plus de 1000 entreprises dans le monde ont été visées par cette méthode d’attaque.
Comment le filtrage de contenu web DNS peut-il vous aider à mieux protéger Office 365 ?
Le filtrage DNS fait partie d’une approche de protection multicouche contre les cyberattaques. Mais pour comprendre ce qu’est le filtrage DNS, nous devons examiner comment fonctionnent certains aspects de l’utilisation d’un site web.
Qu’est-ce qu’un système de noms de domaine ou DNS ?
Pour permettre l’utilisation de l’internet par les hommes et les machines, l’internet utilise un système connu sous le nom de système de noms de domaine (DNS) pour faire correspondre les opérateurs humains avec l’internet et les protocoles plus larges.
Pour naviguer sur un site web et en lire le contenu, il faut procéder comme suit :
L’humain : lorsque vous vous rendez sur un site web, vous tapez une « URL » compréhensible comme mycompany.com.
Le navigateur web : il communique avec les serveurs web en utilisant une adresse IP (Internet Protocol), qui ressemble à 30.99.11.89.
Le serveur DNS : il traduit le nom de domaine en une adresse IP, ce qui facilite le chargement des pages web et d’autres ressources Internet. Cela signifie que les humains n’ont pas besoin de se souvenir de chiffres, mais seulement de noms lisibles par l’homme.
Comment le filtrage de contenu web DNS empêche-t-il les cyberattaques contre Office 365 ?
La cybersécurité n’est pas une chose qui peut être faite de manière isolée. Les cybercriminels utilisent de multiples canaux, à travers des chaînes d’attaques complexes, pour voler des informations d’identification et des données.
Si vous voulez protéger votre organisation contre ces cyberattaques à plusieurs niveaux, vous devez mettre en place plusieurs niveaux de défense.
Un filtre DNS fournit une couche de protection contre les cyberattaques lancées via le web. Pour ce faire, il empêche les utilisateurs de se rendre sur des sites web malveillants.
C’est une couche importante pour votre organisation, car il peut intervenir lorsque les autres mesures de sécurité web échouent.
Supposons qu’une campagne de phishing soit habilement conçue de manière à ce que les filtres antispam ne repèrent pas les signes révélateurs d’un e-mail malveillant.
Sachez qu’il y a environ 14,5 milliards de messages de spam qui sont envoyés par jour dans le monde entier et les pirates informatiques améliorent sans cesse le contenu de leurs e-mails pour brouiller les pistes.
Supposons également qu’une campagne de phishing soit très sophistiquée et que l’e-mail malveillant soit bien conçu pour correspondre à un sujet d’actualité brûlant pour tromper les utilisateurs (comme la formation aux soins de santé concernant le Covid-19).
Si l’e-mail de phishing arrive dans la boîte de réception d’un employé sans méfiance (ou même formé), celui-ci peut facilement être amené à cliquer sur un lien malveillant.
C’est là que les filtres DNS excellent.
Étapes de la protection du filtre DNS
Un filtre DNS fournit une couche de protection supplémentaire en empêchant les utilisateurs de visiter les liens malveillants contenus dans les e-mails de phishing.
Les étapes de la protection sont les suivantes :
Le filtre DNS est configuré pour rechercher certaines URL malveillantes,
L’employé reçoit un e-mail de phishing contenant un lien malveillant,
L’employé clique sur le lien malveillant,
Cela déclenche une requête DNS, comme d’habitude, et une recherche DNS est effectuée pour trouver l’adresse IP de l’URL contenue dans le lien malveillant,
Le DNS détecte qu’il s’agit d’un lien malveillant et veille à ce que l’adresse IP ne soit pas ouvert,
L’employé ne peut pas accéder au site web frauduleux. Ses identifiants de connexion sont donc sécurisés.
Filtrage DNS, et bien plus encore !
Le filtre DNS de WebTitan protège contre les risques qu’un employé visite un site web malveillant, mais ce n’est pas tout !
WebTitan permet aux équipes informatiques de bloquer les téléchargements de malwares, de surveiller l’activité sur Internet et de contrôler soigneusement les types de sites web auxquels les employés distants peuvent accéder lorsqu’ils utilisent les appareils de l’entreprise.
Avec la sophistication et l’attention portée aux détails des cybermenaces modernes basées sur le web, cette approche multicouche de la protection des ressources de votre entreprise est essentielle.
Filtre de contenu WebTitan : ce sont les statistiques qui comptent !
700 millions d’URL sont explorées chaque jour, ce qui permet de catégoriser les menaces et de les protéger,
La solution est disponible en 200 langues,
5 billions de requêtes de recherches sont examinées chaque mois,
3 millions d’URL malveillantes et de sites de phishing sont bloqués à tout moment,
Chaque jour, 100 000 nouvelles adresses de sites malveillants et de phishing sont enregistrées,
300 000 URL malveillantes sont revisitées chaque jour,
Couverture à 100 % du « Top 1 Million » des sites web les plus visités,
99% de couverture et de précision de l’ensemble du web actif, ce qui fait de WebTitan le leader du secteur,
53 catégories de contenu unique,
200 000 requêtes par seconde/par instance,
5 microsecondes pour la consultation des bases de données,
Si vous n’avez pas encore mis en place une solution de filtrage DNS et que vous souhaitez obtenir plus d’informations sur la façon dont elle peut protéger les travailleurs à distance contre les cyberattaques, contactez l’équipe de TitanHQ dès aujourd’hui.
Une nouvelle attaque de phishing a été identifiée.
Elle permet d’accéder à des informations sur les comptes Office 365 sans obtenir de noms d’utilisateur ni de mots de passe. La campagne parvient également à contourner les contrôles d’authentification multifacteur (AMF) qui ont été mis en place pour empêcher que des informations d’identification volées soient utilisées pour accéder à distance à des comptes de messagerie électronique à partir de lieux ou de dispositifs inconnus.
La campagne tire profit des protocoles OAuth2 et OpenID Connect
Ces deux protocoles sont utilisés pour authentifier les utilisateurs d’Office 365.
Les e-mails de phishing comprennent un lien SharePoint malveillant qui est utilisé pour tromper les destinataires de l’e-mail et leur faire accorder des autorisations d’application qui leur permettent d’accéder aux données des utilisateurs sans nom d’utilisateur ni mot de passe.
Les e-mails de phishing sont typiques de plusieurs autres campagnes qui abusent de SharePoint. Ils informent le destinataire qu’un fichier a été partagé avec lui et qu’il doit cliquer sur un lien pour visualiser le fichier. Dans ce cas, le fichier partagé apparaît comme un document PDF.
Le document comprend le texte « q1.bonus » qui suggère que l’utilisateur se voit offrir de l’argent supplémentaire. Cette escroquerie est particulièrement efficace si le nom de l’expéditeur a été usurpé pour faire croire que l’e-mail a été envoyé en interne par le service des ressources humaines ou par un responsable.
En cliquant sur le lien contenu dans un e-mail, un utilisateur avisé est dirigé vers une véritable URL Microsoft Online où il se verra présenter l’invite de connexion familière de Microsoft. Comme le domaine commence par login.microsoftonline.com, l’utilisateur peut croire qu’il atterrit sur un véritable site Microsoft (et c’est le cas) et qu’il est sûr de saisir ses identifiants de connexion (ce qui n’est pas le cas).
La raison pour laquelle il n’est pas sûr peut être vue dans le reste de l’URL (c’est-à-dire l’insertion des lettres « online »). Mais pour de nombreux utilisateurs non vigilants, il ne sera pas clair qu’il s’agit d’une escroquerie.
Comment les pirates utilisent-ils les protocoles OAuth2 et OpenID Connect pour contourner l’AMF ?
En réalité, la saisie du nom d’utilisateur et du mot de passe ne fournit pas les informations d’identification à un attaquant. En faisant cela, il s’authentifiera seulement auprès de Microsoft et obtiendra un jeton d’accès de la plate-forme d’identité Microsoft.
OAuth2 et OpenID Connect sont des protocoles utilisés par un grand nombre d’utilisateurs d’Internet. Ils leur permettent de s’authentifier sur différents services web via l’identité qu’ils possèdent sur une plate-forme web comme Google, Facebook et Yahoo.
Par exemple, Google Connect et Facebook Connect peuvent être utilisés par de nombreux sites Internet pour authentifier de façon transparente les utilisateurs de ces sites.
Pour notre cas, OAuth2 a été utilisé pour authentifier l’utilisateur, tandis qu’OpenID Connect servait d’outil pour déléguer l’autorisation à une application malveillante, ce qui signifie que l’application se verra accorder l’accès aux données de l’utilisateur sans jamais recevoir de justificatifs d’identité, et les données d’authentification ont été envoyées à un domaine hébergé en Bulgarie.
L’utilisateur est tenu de saisir à nouveau ses identifiants de connexion et l’application malveillante reçoit les mêmes autorisations qu’une application légitime. L’application pourrait alors être utilisée pour accéder aux fichiers stockés dans le compte Office 365 et pourrait également accéder à la liste de contacts de l’utilisateur, ce qui permettrait à l’attaquant de mener d’autres attaques contre l’organisation et les contacts professionnels de l’utilisateur.
L’objectif des pirates était de contourner l’AMF
La campagne de phishing a été identifiée par des chercheurs de Cofense. Ces derniers ont déjà averti que l’accès ne doit être accordé qu’une seule fois. Les jetons d’accès ont une date d’expiration, mais cette méthode d’attaque permet aux attaquants de rafraîchir les jetons, ce qui leur donne potentiellement accès aux documents et aux fichiers du compte Office 365 pour une durée indéterminée.
Grâce à l’AMF, les entreprises peuvent se sentir immunisées contre les attaques de phishing.
Comment fonctionne l’AMF ?
Lorsque vous utilisez ce système d’authentification, les utilisateurs doivent au moins utiliser des identifiants qui proviennent d’au moins deux parmi trois catégories de facteurs qui leur seront demandées successivement. Dans ce cas, on parle d’authentification à deux facteurs. Le système peut également exiger un troisième facteur ou plus pour permettre à un utilisateur d’accéder aux ressources dont ils ont besoin. Ainsi, on parle d’authentification multi facteur.
L’exemple du premier facteur le plus couramment utilisé est le mot de passe. Mais il peut aussi prendre d’autres formes telles qu’une phrase secrète, un code PIN, etc. Le problème avec ces informations personnelles est qu’elles peuvent souvent être dévoilées ou volées via de simples recherches, des tactiques d’ingénierie sociale ou des attaques de phishing. Il est donc peu recommandé de les utiliser en tant que méthode d’authentification, car elles sont peu fiables. Le mieux serait d’utiliser quelque chose que l’utilisateur connaît, quelque chose lié à sa personne ou quelque chose qu’il possède.
Les limites de l’AMF
Des milliards tentatives de piratage sont lancées chaque jour sur le web. En 2018, en l’espace de seulement trois mois, 765 millions d’utilisateurs ont été victimes de cybermenaces, notamment des attaques de ransomware et de malware.
L’AMF est une technique importante qui permet d’atténuer ces risques, car elle empêche l’utilisation d’identifiants volés pour accéder à des comptes d’utilisateurs d’Office 365. Malheureusement, elle n’est pas infaillible.
De nombreuses personnes sont encore réticentes à l’idée d’adopter cette technologie pour protéger leurs comptes ou leurs applications. L’une des principales raisons est l’effort nécessaire pour sa mise en œuvre.
De l’autre côté, il y a la question de procédure, c’est-à-dire que les utilisateurs doivent passer plusieurs étapes supplémentaires chaque fois qu’ils souhaitent accéder à leurs comptes ou à une application (saisie d’un mot de passe ou d’un code, sélection d’images pour compléter un captcha, etc.).
À ceux-ci s’ajoute le fait que certains utilisateurs pourraient être tentés de désactiver complètement l’AMF s’ils en ont la possibilité, juste pour éviter d’entrer un code à usage unique ou de produire une clé physique lors du processus de connexion.
De plus, la mise en œuvre de cette technologie peut s’avérer trop coûteuse pour certaines entreprises/utilisateurs, alors qu’elle ne garantit pas une protection à 100 % contre les cybermenaces.
Selon des chercheurs, même si l’AMF offre plus de sécurité aux comptes des utilisateurs, de certaines applications courantes ne la prennent pas en charge, notamment lorsque vous utilisez les systèmes d’authentification modernes. Parmi ces applications, on compte le système de messagerie des versions antérieures à iOS 10.
Enfin, d’autres protocoles de messagerie hérités tels que SMTP, IMAP et POP ne prennent pas en charge cette technologie. Ceci signifie que les attaquants peuvent contourner facilement votre système d’authentification multifacteur en utilisant ces applications héritées.
Cette campagne souligne l’importance de disposer d’une solution de sécurité de la messagerie électronique qui utilise une technologie prédictive pour identifier les nouvelles escroqueries de phishing qui n’ont jamais été vues auparavant et qui ne comportent pas de pièces jointes malveillantes.
Les attaques de phishing de ce type sont susceptibles de contourner les protections antispam d’Office 365 et d’être envoyées dans les boîtes de réception, et la nature inhabituelle de cette campagne peut tromper les utilisateurs en leur permettant involontairement d’autoriser des pirates à accéder à leurs comptes Office 365.
Office 365 est une cible pour de nombreuses attaques cybercriminelles
L’environnement Office 365 est un atout important pour la plupart des employés qui l’utilisent, notamment lorsqu’ils adoptent le travail à distance. En fait, ce système d’exploitation facilite grandement la communication et la collaboration en ligne.
On compte actuellement plus d’un million d’entreprises qui utilisent cette application. Vers la fin 2019, le géant Microsoft a enregistré 200 millions d’utilisateurs actifs par mois, et ce nombre ne cesse d’augmenter à raison d’environ 3 millions d’utilisateurs mensuels.
Malgré sa popularité, Office 365 constitue également un vecteur d’attaques cybercriminelles potentielles.
À cause de la pandémie du COVID-19, les entreprises ont par exemple dû pousser leurs employés à travailler chez eux. Cela a également accéléré la migration des outils de collaboration vers le cloud ainsi que la transformation numérique.
Une étude menée par le fournisseur de solutions de cybersécurité Vectra a révélé une tendance troublante. En fait, 71 % des systèmes Microsoft Office 365 déployés dans les moyennes et grandes entreprises ont fait l’objet d’environ sept prises de contrôle de comptes légitimes, à un moment où les employés distants étaient plus dépendants que jamais de ce logiciel pour mener à bien leur tâche au quotidien.
Les chercheurs ont constaté une augmentation des campagnes de phishing capables de contourner la MFA, dont le principal but est de compromettre les e-mails professionnels. Trend Micro a également constaté une augmentation de la compromission d’emails ciblant les comptes Office 365 des cadres.
De nombreux utilisateurs ont déjà signalé que la sécurité de Microsoft Office 365 présente des failles, et ils sont loin d’être les seuls. En mars 2018, le géant historique de l’informatique a constaté 23 millions de tentatives de connexion à haut risque et qui sont essentiellement basées sur le phishing.
En avril de la même année, environ 350 000 comptes ont également été compromis via la technique de pulvérisation de mots de passe. Lors de telles attaques, au lieu d’utiliser la technique de piratage courante – qui consiste à essayer plusieurs mots de passe différents sur quelques comptes – les escrocs ont opté pour la méthode inverse, en utilisant seulement quelques mots de passe pour accéder à de nombreux noms de compte différents.
Quelques mesures à adopter pour sécuriser vos comptes Office 365
Microsoft s’efforce d’apporter des améliorations à la sécurité de son logiciel. Il dépasse même certains fournisseurs d’antivirus et d’antispam, mais les cybercriminels ont également évolué en conséquence.
Si vous êtes responsable de la sécurité du système d’information de votre entreprise, la première erreur que vous pourrez faire est de croire que Microsoft est le seul responsable de la sécurisation de votre réseau et de vos données stockées dans son cloud.
Dans ce qui suit, nous allons vous donner d’autres conseils qui vous aideront à mieux protéger votre système informatique.
Adapter les paramètres de sécurité de Microsoft 365 à votre entreprise
Par défaut, Microsoft proposait des solutions de sécurité axées vers la facilité d’utilisation et les performances. À cause de la pandémie du COVID-19, et suite aux fortes demandes de la part de ses utilisateurs, la marque a amélioré et optimisé davantage ses solutions de sécurité en développant Microsoft Teams et Microsoft Azure.
Comme susmentionné, il est important de configurer correctement votre environnement et de modifier les paramètres par défaut pour faire face aux attaques cybercriminelles qui menacent votre organisation. Vous devez également vous tenir informés des nouvelles options proposées par Microsoft qui changent généralement toutes les semaines.
Sachez par exemple que vous pouvez utiliser Microsoft Secure Score pour évaluer le niveau de sécurité de votre entreprise sur la base de plusieurs critères comme l’identité, les périphériques, les données et le comportement des utilisateurs finaux. Vous pouvez utiliser cet outil pour sensibiliser vos clients, mettre en place un plan de sécurité à long terme et gérer les risques cybercriminels.
Renforcer la sécurité du travail à distance
À cause de la crise du Covid-19, les entreprises ont été contraintes d’adopter rapidement le travail à distance auquel les employés ne sont pas habitués. Elles ont eu peu de temps pour résoudre une myriade de problèmes – pour ne citer que le besoin de former les télétravailleurs et d’adopter de nouvelles solutions de sécurité – afin de rendre le travail à distance productif et sûr.
De leur côté, les pirates cherchent constamment de nouvelles tactiques pour mener des attaques de phishing et de ransomware. Ils exploitent les craintes et les besoins d’informations concernant le Coronavirus, et leurs actes vont certainement perdurer, même après la disparition de la pandémie.
Là encore, l’utilisation du MFA est l’une des bonnes pratiques qui pourraient sécuriser le télétravail de vos collaborateurs, mais elle doit être associée à d’autres stratégies.
Sécuriser l’accès aux applications de travail
Pour ce faire, vous pouvez contrôler les employés qui ont accès aux applications Microsoft Office, tout comme l’endroit ou le moment où l’accès a eu lieu.
En utilisant Microsoft Azure Active Directory, vous pouvez protéger les utilisateurs finaux contre la perte ou le vol de mots de passe perdus grâce à l’AMF. Mais vous pouvez aussi autoriser les employés à accéder à certaines applications sans ouvrir un large accès à votre réseau. Utilisez donc cette solution pour vous protéger contre d’autres cybermenaces.
Activer l’accès au bureau à distance
Vos employés distants peuvent utiliser plusieurs plateformes et appareils différents pour mener à bien leur travail, comme Windows, Mac, Android, iOS ou HTML 5. S’ils peuvent utiliser Windows Virtual Desktop, ils pourront même accéder à leurs applications et à leurs fichiers de manière sécurisée, quelle que soit la plateforme utilisée. De plus, ils apprécieront l’environnement de travail familier que vous leur proposez.
Journaliser et surveiller l’environnement Microsoft
Microsoft 365 propose déjà des solutions de sécurisation de son infrastructure et de ses services cloud. Les clients, quant à eux, doivent être conscients de leurs responsabilités, notamment la sécurisation de leurs données.
Dans le contexte de la journalisation et de la surveillance de l’environnement Microsoft, les utilisateurs finaux doivent analyser les données des journaux en temps quasi réel. Ils doivent alerter le personnel compétent et répondre par des contre-mesures en cas d’évènement suspect (tentatives d’accès à plusieurs comptes Microsoft 365, déchiffrement d’un mot de passe, connexion provenant d’une adresse IP dangereuse, etc.).
Utiliser un filtre de contenus web
Les administrateurs réseau devraient également ajouter une autre couche de sécurité à leur ligne de défense en mettant en place un système de filtrage des URL et de sécurité DNS.
Sur ce point, sachez que Microsoft fournit une option de filtrage web appelée Microsoft Defender. Elle permet à vos administrateurs système de suivre et de contrôler l’accès aux sites web en fonction de leurs catégories de contenu. Le fait est qu’il existe d’autres menaces récentes qui ne sont pas détectées par cette solution, mais qui peuvent être bloquées par des solutions de cyberprotection tierces plus avancées et plus efficaces.
Les administrateurs peuvent configurer ces solutions tierces dans votre environnement Office 365 de façon à ce qu’un point d’extrémité puisse transmettre toutes les demandes web au service de filtrage.
Le service de filtrage de TitanHQ est un des nombreux outils efficaces que vous pouvez utiliser dans ce domaine pour empêcher les pirates d’infiltrer votre réseau.
Filtrer les e-mails entrants et sortants
Comme l’e-mail est le moyen le plus utilisé par les pirates informatiques pour mener leurs attaques, Microsoft 365 a été doté d’un service pouvant bloquer certaines pièces jointes dangereuses et les spams.
Selon une étude menée par Osterman Research, les mécanismes de détection basés sur les signatures de Microsoft peuvent bloquer jusqu’à 100 % des menaces de malwares connus. Cependant, il existe un domaine dans lequel ce logiciel suscite des critiques. En fait, le volume d’e-mails de phishing et de spams qui contournent son filtre antispam et qui arrivent dans les boîtes de réception des utilisateurs finaux n’est pas négligeable.
Pour protéger votre entreprise contre les attaques récentes, il vous faut donc des mécanismes antispam et antiphishing avancés tels que SpamTitan et WebTitan.
SpamTitan offre une protection complète contre les attaques de phishing, de spear phishing, etc., tandis que WebTitan empêche vos employés d’accéder aux sites à risque et de bloquer les malwares avant qu’ils n’infiltrent les dispositifs qu’ils utilisent.
Améliorez la sécurité d’Office 365 avec les solutions de TitanHQ
La protection contre les attaques cybercriminelles associées à Office 365 requièrent une solution de sécurité à plusieurs niveaux.
Outre l’AMF, votre entreprise doit mettre en place des solutions permettant d’inspecter les e-mails et d’autres contenus partagés en vue de détecter les malwares, les contenus de phishing, les tentatives d’atteinte à la sécurité et l’intégrité de vos données, etc.
Il importe également de doter votre organisation d’une solution qui sécurise les appareils et logiciels des utilisateurs distants pour détecter tous les vecteurs d’attaques potentielles à n’importe quel stade de leur cycle de vie.
TitanHQ fournit une solution de sécurité basée dans le cloud qui vous aide à bloquer les vecteurs d’attaques liés à Microsoft Office 365. Pour en savoir plus sur ses capacités et sur la façon dont SpamTitan et WebTitan peuvent aider à protéger votre réseau et vos employés, nous vous invitons à les essayer gratuitement. Vous allez découvrir comment nos solutions peuvent améliorer vos défenses contre les attaques lancées via le web et la messagerie électronique.
Une campagne de phishing visant la Cour suprême des États-Unis a été détectée.
Elle utilise une fausse citation à comparaître devant le tribunal comme leurre pour obtenir des identifiants de connexion à Office 365.
Les e-mails sont personnalisés et sont adressés à la victime et prétendent être une assignation délivrée par la Cour suprême, exigeant que le destinataire assiste à une audience.
Il s’agit d’une campagne ciblée plutôt que d’une attaque du type de type « spray-and-pray » qui tente d’obtenir les identifiants des cibles de grande valeur telles que les cadres du niveau C.
Les e-mails comportent un lien sur lequel le destinataire est tenu de cliquer pour consulter l’assignation. En cliquant sur le lien dans l’e-mail, l’utilisateur est dirigé vers un site web malveillant où il doit entrer ses identifiants de connexion à Office 365 pour voir l’assignation.
Le domaine utilisé est tout nouveau et, en tant que tel, il n’est pas reconnu comme malveillant par de nombreuses solutions de sécurité, y compris les mesures anti-phishing par défaut d’Office 365. Les escrocs ont également utilisé de multiples redirections pour masquer l’URL de destination dans une autre tentative pour déjouer les défenses anti-phishing.
Avant que l’utilisateur ne soit dirigé vers la page de phishing, une page CAPTCHA lui est présentée. Le CAPTCHA est utilisé pour empêcher les visites sur le web par des robots, mais dans ce cas, il peut être utilisé pour ajouter de la légitimité au phishing afin que la requête paraisse authentique.
La page CAPTCHA est réelle, et l’utilisateur doit sélectionner correctement les images afin de poursuivre. La page comprend également le nom de l’utilisateur, ce qui ajoute encore plus de légitimité à l’escroquerie. En outre, le CAPTCHA peut constituer une tentative supplémentaire pour rendre difficile l’analyse de l’URL de destination par les solutions de sécurité.
Cette campagne de phishing est réaliste et utilise l’urgence pour amener l’utilisateur à agir rapidement, plutôt que de s’arrêter pour réfléchir à la demande.
Il y a des signes qu’il s’agit d’une escroquerie, comme le nom de domaine qui n’a manifestement rien à voir avec celui de la Cour suprême des États-Unis. L’e-mail renferme également quelques fautes de grammaire et d’orthographe que l’on ne s’attendrait pas à trouver dans une demande de la Cour suprême.
Cependant, le nom de l’expéditeur de l’e-mail a été usurpé pour faire croire qu’il a été envoyé par la Cour suprême. De cette manière, il est certain que la demande fasse peur à certains destinataires qui n’hésiteront donc à cliquer sur le lien. De plus, la page d’accueil est suffisamment réaliste pour tromper les employés occupés. Ces derniers sont donc plus enclins à divulguer leurs identifiants de connexion.
La protection Exchange Online (EOP), qui est fournie gratuitement par Microsoft avec tous les comptes Office 365, ne détecte souvent pas ces attaques du type « zero-day ».
Pour améliorer la protection contre les nouvelles campagnes de phishing, il faut une solution antispam qui intègre des techniques prédictives, des flux de renseignements sur les menaces et des algorithmes d’apprentissage automatique. SpamTitan intègre ces éléments et plusieurs autres couches de protection afin d’identifier les campagnes de phishing, les malwares, les ransomwares ainsi que les attaques par usurpation d’identité via la messagerie électronique.
SpamTitan peut être superposé à la protection Exchange Online de Microsoft pour servir de couche supplémentaire à vos défenses de sécurité de la messagerie électronique. Ceci, afin de garantir que davantage d’e-mails malveillants sont bloqués et n’atteignent jamais les boîtes de réception des utilisateurs finaux.
Pour plus d’informations sur SpamTitan et sur la manière dont la solution peut protéger les boîtes de réception de votre organisation contre les menaces de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.
