Le confinement imposé en raison du COVID-19 a obligé les employés à abandonner le bureau et à travailler à domicile, le contact étant maintenu grâce à des outils de communication tels que Skype, Slack et Zoom.
Il n’est pas surprenant que l’augmentation considérable de l’utilisation de ces plateformes ait créé une opportunité pour les cybercriminels.
Ces derniers utilisent de fausses notifications provenant de ces plateformes de communication et de téléconférence comme appâts dans les campagnes de phishing, ciblant ainsi les travailleurs distants.
Plusieurs campagnes ont été identifiées, tirant parti de la popularité de ces plates-formes. Une campagne a récemment été identifiée, laquelle utilise Skype pour informer les utilisateurs qu’ils ont des notifications en attente.
Campagne de phishing Skype pendant le CoViD-19
Des e-mails personnalisés ont été envoyés aux victimes, comprenant leur nom d’utilisateur Skype et un bouton sur lequel elles peuvent cliquer pour consulter leurs notifications.
Ces e-mails ressemblent beaucoup aux véritables messages envoyés par Skype à ses utilisateurs. Ils semblent également, à première vue, avoir été envoyés à partir d’une adresse authentique.
Le lien fourni dans les e-mails dirige le destinataire vers un site web hxxps dont le nom de domaine est Skype.
Comme la connexion entre le navigateur et le site web est chiffrée, le cadenas vert s’affiche pour indiquer que la connexion est sécurisée, comme c’est le cas lors que les employés utilisent le véritable nom de domaine authentique de Skype.
La page web comprend également la marque Skype et le logo de l’entreprise visée et indique qu’elle a été créée pour une utilisation autorisée par les employés de l’entreprise.
Le nom d’utilisateur de la victime est automatiquement ajouté à la page de connexion, de sorte qu’il lui suffit d’entrer un mot de passe pour se connecter.
Cette campagne a été identifiée par Cofense, qui a reçu de multiples rapports d’utilisateurs professionnels concernant les e-mails ayant contourné la protection en ligne de Microsoft Exchange (EOP) et qui ont été livrés dans les boîtes de réception d’Office 365.
Campagne de phishing Zoom pendant le CoViD-19
Une campagne utilisant Zoom a également été identifiée. Elle utilise des tactiques similaires. Zoom est l’une des applications de téléconférence les plus populaires et a été recommandée par de nombreuses entreprises pour permettre aux employés de rester en contact pendant le confinement.
La plateforme s’est révélée populaire auprès des consommateurs et compte aujourd’hui plus de 300 millions d’utilisateurs.
Dans le cadre de cette autre campagne, des notifications de réunions via Zoom ont été envoyées aux victimes. Comme c’est souvent le cas avec les campagnes de phishing, les attaquants génèrent la peur et l’urgence pour amener leurs cibles à réagir rapidement sans examiner les messages.
Les e-mails conseillent à leurs destinataires de se connecter à une réunion avec leur service des ressources humaines concernant leur licenciement. En cliquant sur un lien intégré dans les messages, les utilisateurs sont dirigés vers une fausse page de connexion où ils doivent saisir leurs identifiants.
Pourtant, la page d’accueil est une copie virtuelle de la page de connexion officielle de Zoom, bien que les seules parties de la page qui fonctionnent soient les champs du nom d’utilisateur et du mot de passe.
Cette campagne a été identifiée par Abnormal Security, qui rapporte qu’environ 50 000 messages similaires ont été transmis à des comptes de messagerie d’Office 365 et ont contourné les systèmes de défense d’EOP.
Les e-mails de phishing sont crédibles, les pages web que les utilisateurs sont invités à consulter semblaient authentiques et de nombreuses personnes pourraient être trompées par ces messages.
Une formation de sensibilisation à la sécurité aidera vos employés à remettre en question ces types d’e-mails ou de notifications.
Pourtant, étant donné le nombre de messages qui contournent l’EOP de Microsoft, les entreprises devraient également envisager d’ajouter une couche supplémentaire de sécurité de la messagerie électronique à leurs comptes Office 365.
C’est un domaine dans lequel TitanHQ peut apporter son aide. SpamTitan Cloud ne remplace pas l’EOP pour Office 365, mais il permet aux entreprises d’ajouter une couche de protection supplémentaire afin de fournir une protection supplémentaire contre les attaques de type « zero day ».
SpamTitan Cloud bloque le spam, le phishing et les e-mails contenant des malwares qui, autrement, seraient envoyés dans les boîtes de réception des utilisateurs d’Office 365.
SpamTitan Cloud est rapide et facile à mettre en œuvre et peut protéger vos comptes Office 365 en quelques minutes. Comme la solution est disponible en version d’essai gratuite, vous pourrez évaluer la différence qu’elle fait et voir combien de messages malveillants elle peut bloquer avant de vous engager dans un achat.
Pour plus d’informations sur l’amélioration de vos défenses contre le phishing, appelez l’équipe de TitanHQ dès aujourd’hui.