Les experts mettent en garde contre les attaques de phishing d’Office 365
4 min readUne nouvelle alerte de Microsoft d’une vague de attaques de phishing conçu pour voler les noms d’utilisateur et les informations d’identification d’Office 365 via une série de redirections malveillantes a suscité des avertissements de la part de la communauté de la sécurité.
Signalé pour la première fois le 26 août, la campagne utilise des liens de redirection ouverts, combinés à des leurres d’ingénierie sociale se faisant passer pour Office 365, pour inciter les utilisateurs à cliquer sur un lien. Cela conduit à une série de redirections ouvertes – qui ont des utilisations légitimes courantes, par exemple pour diriger les clients vers une page de destination ou suivre les taux de clics sur les e-mails – pour amener la victime vers un Google malveillant. ReCAPTCHA de vérification, et de là à une fausse page de connexion Office 365, où les malchanceux sont déchargés de leurs informations d’identification, puis redirigés vers une autre fausse page, censée être Sophos, pour ajouter une légitimité supplémentaire à l’entreprise.
Microsoft a également averti qu’une méthode courante pour éviter de cliquer sur un hameçonnage – passer votre curseur sur le lien pour voir l’URL complète – est dans ce cas inefficace, car les acteurs malveillants à l’origine de la campagne ont mis en place des redirections ouvertes à l’aide d’un service légitime.
Microsoft n’a donné aucune indication sur qui pourrait être à l’origine de la campagne ni sur la manière dont les données compromises pourraient être utilisées, mais a fourni divers indicateurs de compromission (IOC) et des exemples d’e-mails Office 365 malveillants et de domaines malveillants, pour aider les équipes de sécurité. être sur leurs gardes.
ProPrivacy’s Adam Drapkin a déclaré que plusieurs éléments de cette campagne devraient la rendre particulièrement préoccupante, tels que les redirections multicouches et les pages frauduleuses conçues pour rassurer les victimes qu’elles ne font rien de mal, et le fait que les acteurs malveillants derrière elle ont neutralisé l’un des tactiques anti-hameçonnage les plus connues.
“Cette histoire illustre la course aux armements perpétuelle entre les escrocs, avec leurs astuces de plus en plus sophistiquées, et les consommateurs, de plus en plus sensibilisés aux techniques de phishing”, a-t-il déclaré. « C’est un excellent exemple de la raison pour laquelle les particuliers et les entreprises doivent rester à l’avant-garde de l’éducation – ce qui est une bonne pratique aujourd’hui pourrait être une mauvaise pratique demain. »
KnowBe4 Javvad Malik, défenseur de la sensibilisation à la sécurité, a ajouté : « Les criminels continuent de faire évoluer leurs techniques et leurs tactiques pour garantir le succès de leurs campagnes de phishing. Utiliser des redirections ou se cacher derrière des CAPTCHA est un bon moyen de contourner les contrôles de vérification des liens ou d’autres outils. C’est pourquoi il est important que les organisations se souviennent que, quelle que soit la qualité d’une technologie particulière aujourd’hui, elle ne sera pas nécessairement efficace en permanence face à des menaces en constante évolution.
« Donc, la mise en œuvre d’un solide plan de sensibilisation à la sécurité et de formation est essentielle pour aider les utilisateurs à identifier et à pouvoir signaler tout e-mail de phishing suspecté. »
secte Le responsable de la conformité, Tim Callan, a déclaré que le risque de phishing était devenu particulièrement aigu dans la « nouvelle normalité » du travail à distance ou hybride.
« Des effectifs massivement distribués et la prolifération de l’IoT [internet of things] dans ce monde de Covid-19 ont créé un terrain luxuriant pour que de mauvais acteurs mènent des attaques », a-t-il déclaré. « Il est impératif que les employés comprennent les bases de l’identité numérique et de l’hygiène numérique et soient formés pour reconnaître les tentatives d’ingénierie sociale comme le phishing. »
Mais le problème était plus important que le simple hameçonnage, a déclaré Callan. « Ces attaques mettent en lumière les discours de confiance zéro, et la nécessité d’une utilisation à plus grande échelle de mécanismes d’authentification forts tels que les certificats clients », a-t-il déclaré. « Les principes de confiance zéro doivent être au cœur, afin que les entreprises puissent faire confiance à leur propre réseau de la même manière qu’elles font confiance à l’Internet public hostile, ce qui signifie avec une extrême prudence.
« Les méchants ont de multiples façons d’entrer et ne s’arrêtent pas là une fois qu’ils ont pris pied. Avec le cloud, les réseaux hybrides et la segmentation des réseaux, les données d’une entreprise traversent probablement plus d’une frontière de réseau hostile. L’authentification forte est un point de départ, et les identités numériques sont le nouveau périmètre. »
Drapkin de ProPrivacy a ajouté qu’une autre conséquence de cette dernière campagne pourrait être que Google pourrait agir pour sécuriser les URL raccourcies. « Il s’agit d’un outil de marketing, mais exactement combien d’abus Google en abusera-t-il avant qu’une modification ne soit apportée ? » il a dit.