Comme de nombreux employés travaillent actuellement à domicile, les cybercriminels ont modifié leur tactique en créant des e-mails de phishing, de façon à ce qu’ils ressemblent à de nombreux outils de collaboration sur le marché.
L’une de ces attaques vise les entreprises qui utilisent Microsoft Teams.
Microsoft Teams est un outil de collaboration très prisé par les entreprises, et les récents e-mails de phishing incitent les utilisateurs à divulguer leurs identifiants système via cette plateforme.
L’attaque est dévastatrice pour les entreprises, car Microsoft Teams stocke des informations sur les utilisateurs et la propriété intellectuelle qui pourraient causer des dommages à l’entreprise si elles tombent entre les mains des cybercriminels.
Comment les cybercriminels s’attaquent aux comptes Microsoft Teams ?
Si vous connaissez Microsoft Teams, vous savez que l’activité sur la plateforme déclenche l’envoi d’un message aux utilisateurs.
Lorsqu’un message est envoyé à un utilisateur particulier, celui-ci reçoit un e-mail pour l’avertir qu’il a reçu un message. L’utilisateur peut cliquer directement sur un lien dans l’e-mail ou répondre au message dans Microsoft Teams.
Pour ce dernier cas, lorsque l’utilisateur clique sur le lien, le site de Microsoft Teams s’ouvre et il peut se connecter à son compte afin de répondre au message.
Pour la nouvelle attaque utilisant Microsoft Teams, les cybercriminels envoient un e-mail à l’utilisateur ciblé avec un message qui dit « There’s new activity in Teams » et qui fait apparaître le message comme une notification automatisée de Microsoft Teams.
Il informe ensuite l’utilisateur que ses coéquipiers essaient de le joindre et l’invite à cliquer sur le lien « Reply in Teams ». En faisant cela, l’utilisateur ouvre une page contrôlée par l’attaquant qui l’incite à entrer ses informations d’identification.
Il est facile d’être victime d’une telle attaque, car la page de phishing est conçue pour ressembler à la page de connexion officielle de Microsoft Teams.
Les utilisateurs qui ne regardent pas l’URL dans leur navigateur web vont rapidement entrer leurs informations d’identification, et à ce stade, il sera trop tard.
Une fois que les informations d’identification sont envoyées à l’attaquant, celui-ci peut alors les utiliser pour se connecter à d’autres comptes, y compris au réseau d’entreprises.
Si l’utilisateur se rend rapidement compte de l’erreur, les informations d’identification peuvent être modifiées, mais pour les entreprises, cela peut nécessiter un appel au support informatique afin de s’assurer que les autres zones du réseau sont protégées contre les éventuelles menaces.
Jusqu’au moment où les informations d’identification et les comptes sont sécurisés, l’attaquant peut déjà compromettre le réseau informatique de l’organisation.
Comment mettre fin aux attaques de phishing utilisant Microsoft Teams ?
Les utilisateurs de cet outil en ligne doivent savoir qu’une nouvelle attaque de Microsoft Teams vise les comptes de messagerie des entreprises, mais même les utilisateurs éduqués pourraient être victimes d’une attaque bien conçue.
Il est préférable de ne pas se connecter à un site web après avoir cliqué sur un lien dans un e-mail. Saisissez plutôt le domaine dans le navigateur et entrez les informations d’identification à cet endroit.
Les utilisateurs peuvent également prendre note du domaine dans l’URL pour s’assurer que le site web est bien le domaine officiel de Microsoft.
Les entreprises ne devraient pas compter uniquement sur les utilisateurs pour reconnaître les attaques de phishing.
Même les utilisateurs qui connaissent bien les attaques de phishing et leurs drapeaux rouges peuvent être occupés un jour, cliquer sur un lien dans un e-mail et être trop distraits pour se rendre compte qu’ils sont redirigés vers un site malveillant.
Au lieu de se fier uniquement aux utilisateurs, les administrateurs peuvent utiliser la cybersécurité des e-mails pour bloquer les sites de phishing et bien d’autres qui envoient des pièces jointes malveillantes.
La cybersécurité de la messagerie électronique empêche les e-mails de phishing d’arriver dans la boîte de réception des utilisateurs finaux.
Les attaquants utilisent des adresses électroniques d’expéditeurs usurpées, et cette tactique ne fonctionne pas lorsque l’organisation met en œuvre des enregistrements SPF (Sender Policy Framework) sur son serveur DNS.
Un enregistrement SPF indique au serveur du destinataire de rejeter ou de mettre en quarantaine les messages qui proviennent d’un serveur d’e-mail qui n’est pas répertorié sur le serveur DNS.
Les messages qui ne passent pas le protocole SPF peuvent être mis en quarantaine, complètement abandonnés, ou ils vont dans la boîte à spam de l’utilisateur.
Les messages mis en quarantaine peuvent être examinés par les administrateurs pour s’assurer qu’il ne s’agit pas d’un faux positif, mais une avalanche d’e-mails de phishing pourrait signifier que l’organisation est attaquée par un cybercriminel.
L’avantage de l’utilisation de la sécurisation des e-mails avec une fonction de mise en quarantaine est qu’elle aide les administrateurs à identifier les attaques et à alerter les utilisateurs et à éviter les frustrations dues aux faux positifs.
Une autre fonction de cybersécurité des e-mails est le DMARC (Domain-based Message Authentication, Reporting & Conformance).
Le SPF fait partie des normes DMARC, mais votre cybersécurité des e-mails devrait inclure les règles DMARC. Ces règles indiqueront au serveur ce qu’il doit faire lorsqu’un e-mail suspect est reçu.
Les administrateurs utilisent le protocole DMARC pour mettre fin aux e-mails de phishing ainsi qu’à ceux contenant des pièces jointes malveillantes qui pourraient être utilisées pour compromettre le dispositif local de l’utilisateur.
Les règles DMARC et SPF sont la base d’une bonne sécurité des e-mails, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft.
Les utilisateurs devraient toujours être formés à la détection de ces attaques, mais le fait de bloquer les e-mails pour qu’ils n’atteignent pas la boîte de réception du destinataire est le meilleur moyen d’empêcher votre organisation de devenir la prochaine victime d’une violation de données.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Les courriers électroniques de phishing sont-ils toujours délivrés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité la protection Exchange Online Protection (EOP) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25 % des e-mails de phishing n’étaient pas bloqués par l’EOP.
Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez utiliser une solution antispam et antiphishing tierce en plus de l’EOP, mais qui offre une meilleure protection, comme SpamTitan.
Si vous bloquez davantage d’e-mails de phishing, la sécurité de votre réseau sera bien meilleure, mais vous ne devriez pas vous arrêter là.
Aucune solution antiphishing ne pourra bloquer toutes les attaques de phishing, 100% du temps.
Il suffit qu’un utilisateur clique sur un e-mail de phishing pour qu’une violation de données se produise. Vous devez ajouter une autre couche à vos défenses.
Une solution de filtrage DNS offre une protection contre les attaques de phishing.
Lorsqu’un employé clique sur un lien dans un e-mail et est dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware est téléchargé, toute tentative d’accès au site sera bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing au stade de la consultation du DNS, avant le téléchargement de tout contenu web.
Si un employé tente d’accéder à un site de phishing, il sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne se produise.
Les filtres DNS peuvent également bloquer le téléchargement de malwares à partir de sites qui ne sont pas encore connus pour être malveillants.
La mise en œuvre d’une solution efficace pour la cybersécurité des e-mails n’est pas toujours simple et elle nécessite de la planification et de l’expertise.
S’appuyer sur une seule couche de sécurité n’est plus judicieux face à la recrudescence des menaces en ligne.
De plus, les organisations doivent se concentrer sur les données qu’elles protègent et mettre en place des couches de sécurité autour de celles-ci. Vos clients vous en remercieront et vos résultats seront meilleurs.
Si vous souhaitez savoir comment TitanHQ peut vous permettre de mettre en œuvre une approche globale de la sécurité contre les menaces en ligne pour vos employés et vos clients, contactez-nous dès aujourd’hui.