Si votre entreprise s’abonne à Office 365 pour recevoir des e-mails, il y a de fortes chances que certains de vos utilisateurs aient reçu un e-mail de phishing au cours des deux dernières semaines. Dans ce cas, l’utilisateur reçoit un e-mail provenant de son propre compte de messagerie.

Un pirate explique ensuite qu’il a piraté le compte il y a plusieurs mois en interceptant un mot de passe que l’utilisateur avait saisi dans un site Web qu’il a visité.

Le pirate montre alors la preuve qu’il connaît le mot de passe en l’indiquant dans le message, avec l’adresse email de l’utilisateur.

La première partie de l’e-mail de phishing est présenté ci-dessous :

« Bonjour !

Je suis un hacker qui a piraté votre email et votre appareil il y a quelques mois.

Vous avez entré un mot de passe sur l’un des sites que vous avez visités, et je l’ai intercepté.

C’est votre mot de passe de [email de l’utilisateur] au moment du piratage : [mot de passe de l’utilisateur]. »

Naturellement, c’est un choc pour l’utilisateur, lequel se demande alors comment le pirate a pu envoyer un email en utilisant son propre compte de messagerie.

Ce qui est encore plus effrayant, c’est que l’utilisateur reconnaît fort probablement ses mots de passe comme celui qu’il utilise actuellement ou qu’il a utilisé dans le passé. L’utilisateur réfléchit alors à la possibilité de changer son mot de passe immédiatement jusqu’à ce qu’il lise le paragraphe suivant :

« Bien sûr, vous pouvez le changer et vous le ferez, ou vous l’avez déjà changé.

Mais ça n’a pas d’importance, mon logiciel malveillant l’a mis à jour à chaque fois.

N’essayez pas de me contacter ou de me trouver, c’est impossible, puisque je vous ai envoyé un email depuis votre compte. »

À ce stade, l’utilisateur va probablement contacter son service informatique. Bien que l’utilisateur ne doive pas s’inquiéter de cette tentative de phishing, le service IT de votre organisation le devrait, car ce genre d’e-mail n’a cessé de violer la sécurité d’Office 365 au cours du mois d’octobre 2018.

Il est apparu dans de nombreuses boîtes de réception, y compris celles des organisations qui paient les frais de licence supplémentaires « Advanced Threat Protection » contre les menaces.

Comment fonctionnent ces attaques de masse par e-mail ?

Comment le pirate peut-il envoyer un e-mail à partir du compte de l’utilisateur et connaître son mot de passe ? En réalité, il ne l’a pas vraiment fait.

C’est un exemple classique d’e-mail spoofing et, croyez-le ou non, n’importe qui peut le faire.

La façon la plus simple est d’aller sur un site Web tel que www.deadfake.com qui vous permet d’envoyer gratuitement de faux e-mails anonymes à n’importe qui, en vous faisant passer pour n’importe quelle personne que vous voulez.

Vous pouvez par exemple envoyer un e-mail à vos collègues en utilisant l’adresse e-mail de votre patron ou envoyer un e-mail à votre ami en vous faisant passer pour le président des États-Unis. Il existe de nombreux sites de ce genre, tels que http://www.sendanonymousemail.net/ et http://www.anonymailer.net/.

Naturellement, cette méthode n’est pas l’idéal pour les attaques par e-mail de masse. Pour les criminels qui veulent augmenter leurs efforts d’usurpation d’identité, ils se procurent souvent un ordinateur Unix configuré avec des services de messagerie. Ils génèrent ensuite un « from address » avec une ligne de code telle que :

Mail -a From:whatever@anydomain.com

Ce code crée un message avec la mention « whatever@anydomain.com » dans le champ « De ». Ils entrent ensuite l’objet et le contenu du message.

Mais qu’en est-il du mot de passe que le pirate a envoyé ? Comment a-t-il procédé pour obtenir cette information ? Ils ne l’ont certainement pas intercepté depuis un site web que vous avez visité.

Bien entendu, l’utilisateur l’a utilisé à un moment donné et le pirate l’a obtenu à partir des mots de passe déposés sur un forum du dark web.

Certaines personnes qui ont reçu ce genre d’e-mail de phishing rapportent avoir utilisé le mot de passe à un moment donné sur LinkedIn qui a été victime d’un vol de données il y a deux ans, avec plus de 117 millions de mots de passe.

Lorsque les grands sites, tels que LinkedIn ou Yahoo, subissent une telle attaque, les millions de mots de passe d’utilisateurs qui sont confisqués sont vendus, diffusés et utilisés pendant des années, comme c’est le cas dans l’exemple susmentionné.

C’est pourquoi vous ne devriez JAMAIS utiliser le même mot de passe pour tous vos sites Web. C’est aussi pour cette raison que vous devriez changer régulièrement votre mot de passe au cours d’une année.

Ainsi, le pirate ne saura rien d’autre à votre sujet qu’un ancien mot de passe qui, espérons-le, est complètement dépassé. Il ne pourra donc pas connaître les détails que le pirate a, par exemple, expliqués dans l’e-mail suivant :

« Via votre e-mail, j’ai téléchargé un code malveillant dans votre système d’exploitation.

J’ai sauvegardé tous vos contacts avec vos amis, collègues, parents et un historique complet de vos visites sur Internet.

J’ai aussi installé un cheval de Troie sur votre appareil et j’ai longtemps espionné pour vous.

Vous n’êtes pas ma seule victime, d’habitude je verrouille les ordinateurs et je demande une rançon.

Mais j’ai été frappé par les sites aux contenus intimes que vous visitez souvent. »

Le pirate tente ensuite d’effrayer l’utilisateur en lui faisant croire qu’il a des captures d’écran des contenus Web inappropriés qu’il a consultés.

Il menace d’envoyer ces captures d’écran à tous les contacts de l’utilisateur dans les 48 heures à moins que celui-ci ne lui paie 892$ en Bitcoin dans un portefeuille Bitcoin que le pirate lui communique ensuite.

Portefeuilles Bitcoin

Un élément essentiel que vous devez savoir à propos des portefeuilles Bitcoin est que vous pouvez voir le solde actuel de n’importe quelle adresse Bitcoin et le surveiller. Il suffit de faire une recherche sur le Web pour les sites qui vous permettent de le faire.

Au moment de la rédaction de cet article, ce compte Bitcoin particulier comptait 26 transactions au cours des trois derniers jours. Ce pirate utilise sans doute plusieurs portefeuilles de la CTB pour répandre ses attaques.

Bien que ce type d’attaque de phishing soit inoffensif, il peut causer beaucoup d’appréhension et de malaise chez les utilisateurs, surtout lorsqu’ils se sont effectivement livrés à des contenus Web inappropriés.

Il fait également perdre beaucoup de temps et de ressources de la part de votre équipe de support informatique, laquelle sera probablement très sollicitée dans plusieurs directions.

C’est pour cette raison qu’il est crucial d’utiliser une solution tierce de filtrage du spam avec Office 365. De plus en plus d’entreprises utilisent une solution complète de sécurité des e-mails conçue par un fournisseur spécialisé pour compléter les services de base de filtrage du spam offerts par Office 365.

Pourquoi ?

Parce qu’ils doivent le faire pour protéger leurs utilisateurs et leur réputation. La sécurité offerte par Office 365 n’est pas suffisante, car de nombreux pirates informatiques testent ce moyen de défense tous les jours.

Depuis 1999, SpamTitan a développé des systèmes de renseignements sur les menaces informatiques afin de réduire considérablement le risque d’une attaque réussie contre votre entreprise. Avec SpamTitan, vous réduisez grandement le risque que de nouvelles variantes d’e-mails malveillants pénètrent votre réseau. Contrairement à Microsoft, la sécurité est notre priorité, et c’est ce que nous faisons.

Les attaques de phishing et de malwares qui visent Office 365 vous préoccupent-elles ? Obtenez dès aujourd’hui une version démo personnalisée et gratuite de SpamTitan et découvrez comment il peut vous aider à sécuriser votre environnement Office 365.