Microsoft Office 365 : attaque phishing

Microsoft Office 365 : attaque phishing

Les escrocs en ligne exploitent une faille vieille comme le web pour vous subtiliser votre nom d’utilisateur et votre mot de passe Office 365.

Microsoft tire la sonnette d’alarme sur son blog dédié à la sécurité informatique. Une campagne de «phishing» (hameçonnage) vous fait prendre des vessies pour des lanternes à l’heure de vous soutirer le nom d’utilisateur et le mot de passe de votre compte Office 365.

La suite bureautique en ligne de l’éditeur américain est clairement la cible. En marge des manipulations classiques du «phishing», cette offensive convoque une ancienne faille redoutable. Explications.

 

L’usurpation d’identité comme fondation

Concrètement, vous recevez un courrier électronique semblant émaner de Microsoft et de son service Office 365. Du logo aux couleurs, tout est mis en œuvre pour vous tromper, vous faire croire que le message est bel et bien émis par le père du système d’exploitation Microsoft.

C’est une des bases du «phishing»: usurper une identité, agiter une menace, une récompense ou une urgence (comme celle de se connecter rapidement à un compte).

Dans le cas de cette campagne, le message frauduleux évoque des mails bloqués dans les spams. Pour les lires et les débloquer, il faut soi-disant se connecter au plus vite à son compte Office 365, insiste la missive.

Microsoft a découvert 350 sites de phishing liés à l’attaque

Pour rediriger les victimes sur le site de leur choix, les pirates s’appuient sur une faille de sécurité bien connue des experts : open redirect. Cette brèche empêche un navigateur web d’authentifier correctement les URL. De facto, les pirates peuvent relayer les utilisateurs d’Office 365 sur une page URL frauduleuse sans qu’un avertissement ne sois affiché.

“Les attaquants pourraient abuser des redirections ouvertes pour ajouter un lien vers une URL malveillante dans un domaine de confiance. De tels abus peuvent empêcher les utilisateurs et les solutions de sécurité de reconnaître rapidement une intention malveillante”, souligne l’équipe de Microsoft 365 Defender Threat Intelligence. Microsoft a identifié 350 noms de domaine dédiés à la campagne de phishing.

Avant de cliquer sur un lien trouvé dans un courriel, on vous conseille généralement de le survoler avec votre souris. De cette manière, vous pouvez consulter en un coup d’oeil l’adresse URL. Dans ce cas-ci, les pirates sont parvenus à contourner les systèmes mis en place. “Les utilisateurs voient un nom de domaine légitime qui est probablement associé à une entreprise qu’ils connaissent et en qui ils ont confiance”, poursuit l’éditeur de logiciels. De son côté, Google rappelle que l’aperçu d’un lien survolé “n’est pas un indicateur de sécurité fiable”.

Pour endormir la méfiance des victimes, les hackers ajoutent aussi un reCAPTCHA à leurs redirections. Ce système de détection permet aux sites web de vérifier qu’un internaute n’est pas un robot. Ces éléments permettent d’éviter que l’internaute ne se doute que le piège est en train de se refermer sur lui.

 

Sébastien