Les cybercriminels utilisent SharePoint pour envoyer des documents malveillants aux entreprises au Royaume-Uni. Cette tactique a permis à de nombreux e-mails de contourner les défenses de sécurité de la messagerie électronique et d’arriver dans les boîtes de réception des employés.

La campagne semble cibler les entreprises du secteur des services financiers et vise à obtenir des informations d’identification Office 365 des victimes et des combinaisons de nom d’utilisateur et de mot de passe des fournisseurs de services de messagerie. Ces informations d’identification peuvent être utilisées pour accéder à des informations sensibles dans les comptes de messagerie et dans les systèmes de stockage dans le cloud comme OneDrive.

Lors de la dernière campagne, le pirate informatique a utilisé un compte de messagerie compromis d’un cabinet d’avocats de Londres pour envoyer des e-mails aux employés d’entreprises du secteur des services financiers. L’attaquant a utilisé SharePoint pour envoyer une demande de révision d’un document. Pour visualiser le document, l’utilisateur doit cliquer sur un lien intégré dans l’e-mail.

Si l’utilisateur clique sur le lien, il est dirigé vers SharePoint et vers une autre URL malveillante où il sera invité à télécharger un document OneNote. Pour télécharger le document, il doit saisir ses identifiants de connexion.

Puisque l’URL initiale utilise le nom de domaine SharePoint, de nombreuses solutions de sécurité de messagerie ne parviennent pas à identifier le lien comme malveillant. Des tactiques similaires ont été utilisées dans les campagnes de phishing liées à OneDrive, Citrix ShareFile, Google Drive et Windows.net. Étant donné que les noms de domaine utilisés semblaient authentiques et que les e-mails ne contenaient aucun malware, les messages ont été transmis aux utilisateurs finaux.

L’URL utilisée dans cette campagne aurait pu susciter des soupçons même si elle utilisait un nom de domaine SharePoint. Pourtant, tous les utilisateurs ne vérifient pas soigneusement les URL, ou bien ils ne pouvaient pas lire l’URL complète sur les appareils mobiles. Ceci augmente le risque qu’un utilisateur final soit dupé pour divulguer ses identifiants de connexion.

Le portail OneDrive for Business vers lequel l’utilisateur est dirigé est également une mauvaise imitation, mais il est suffisamment réaliste pour tromper de nombreux utilisateurs finaux. D’autres campagnes de phishing utilisant des sites web de partage de fichiers sont beaucoup plus convaincantes et il est peu probable qu’elles soient détectées comme malveillantes même par des employés peu soucieux de la sécurité.

Lorsque les informations d’identification sont compromises, le compte de messagerie est souvent utilisé pour envoyer d’autres e-mails de phishing à d’autres employés de l’entreprise. Comme ces e-mails proviennent d’un compte interne, les utilisateurs sont plus susceptibles de répondre. Les attaquants peuvent également consulter les messages dans le compte compromis et les utiliser pour engager une conversation avec leurs cibles. De plus, ils peuvent imiter le style rédactionnel du titulaire du compte usurpé pour ajouter plus de réalisme aux e-mails de phishing.

Souvent, les entreprises parviennent à détecter un compte de messagerie compromis, mais l’enquête susmentionnée a révélé que l’attaque était beaucoup plus répandue. De nombreux comptes de messagerie ont été ainsi usurpés.

Pour bloquer ces menaces, une solution avancée de sécurité de la messagerie électronique est nécessaire. Les entreprises devraient chercher une solution qui intègre la DMARC. DMARC intègre les protocoles d’authentification SPF et DKIM. Elle permet donc de vérifier si l’adresse IP utilisée pour envoyer l’e-mail est authentique ou non. Si cette vérification échoue, l’e-mail est bloqué. C’est l’une des méthodes les plus importantes et les plus efficaces pour détecter et bloquer les attaques d’usurpation d’identité par e-mail, y compris les attaques BEC et les tentatives de phishing.

Heureusement, la combinaison d’une solution avancée de filtrage de spams et d’une formation de sensibilisation à la sécurité des utilisateurs finaux permet de s’assurer que les e-mails malveillants n’atteignent pas leurs boîtes de réception. Le cas échéant, les employés devraient être conscients des menaces cybercriminelles et éviter de cliquer sur les liens contenus dans un e-mail. Et surtout, ils ne devraient pas divulguer leurs identifiants de connexion, ni leurs mots de passe sans avoir bien vérifié l’identité de l’expéditeur de l’e-mail.