Une campagne de hameçonnage associée à une fraude par courriel

Une vaste campagne de hameçonnage vise les organisations utilisant Microsoft Office 365, incitant les victimes à se connecter à une page d’authentification en ligne Office usurpée pour voler leurs informations d’identification et, conséquemment, mener des escroqueries par compromission des courriels professionnels (CCP).

Image : Getty

L’avertissement provient vient de Microsoft, qui indique que le cœur de l’attaque est ce qu’elle appelle des sites de hameçonnage « adverse-in-the-middle (AiTM) ». Il s’agit de sites Web usurpés qui déploient un serveur proxy entre un utilisateur cible et le site Web que l’utilisateur souhaite visiter.

Par conséquent, l’attaquant peut voler et intercepter le mot de passe de la victime et le cookie de session qui prouve que sa session en cours et authentifiée avec le site Web, même si la victime doit utiliser l’authentification multifacteur (AMF) pour se connecter.

« Notez qu’il ne s’agit pas d’une vulnérabilité dans l’AMF », explique Microsoft. « Étant donné que le hameçonnage AiTM vole le cookie de session, l’attaquant est authentifié à une session au nom de l’utilisateur, quelle que soit la méthode de connexion utilisée par ce dernier. »

Selon le rapport, cette stratégie d’attaque peut être contrée par des solutions anti-hameçonnage et des solutions antivirus qui détectent le vol de cookies de session et les tentatives d’utiliser le cookie volé pour se connecter à Exchange Online. il peut également être vaincu en complémentant l’AMF avec des politiques d’ accès conditionnel où les demandes de connexion sont évaluées à l’aide de signaux supplémentaires basés sur l’identité, tels que l’utilisateur, l’appartenance à un groupe, des informations de localisation IP et l’état de l’appareil, entre autres.

Les équipes de défense doivent également surveiller en permanence les activités suspectes ou anormales, telles que les tentatives de connexion avec des caractéristiques suspectes (par exemple, l’emplacement, le FAI, l’agent utilisateur, l’utilisation de services d’anonymisation) et les activités de boîte de courriel inhabituelles telles que la création de règles de boîte de réception avec des éléments suspects. à des fins suspectes ou des quantités inhabituelles d’événements d’accès aux éléments de courriel par des adresses IP ou des appareils non fiables.

Une façon courante dont les victimes sont trompées est de cliquer sur un lien dans un message qui prétend être un message vocal pour elles. Une fausse barre de progression de téléchargement, codée en dur dans le fichier HTML, trompe la victime en lui faisant croire qu’un fichier audio est en cours de téléchargement. Au lieu de cela, ils sont redirigés vers ce qui semble être une page Microsoft et invités à se connecter. L’adresse e-mail ou le nom d’utilisateur de la victime, capturé lors de cette action, est automatiquement rempli dans le formulaire, ajoutant de la crédibilité à l’arnaque.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

La vulnérabilité Log4J atteint des proportions endémiques, selon un rapport

Des modules NPM malveillants téléchargés des milliers de fois

Les escroqueries par hameçonnage réussies ont augmenté en 2021

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Alithya rejoint le prestigieux Inner Circle 2022-2023 de Microsoft

L’entreprise Montréalaise Groupe Alithya annonçait cette semaine que sa pratique Microsoft Dynamics a remporté une fois de plus le prestigieux prix « Inner Circle 2022-2023 » pour ses applications d'affaires Microsoft.

L’attaque conte Twilio révèle les faiblesses des systèmes d’authentification multifacteur

La dernière révélation sur la campagne de hameçonnage visant à compromettre les comptes de connexion des employés de Twilio est un rappel que l'authentification multifacteur pour protéger les connexions peut être contournée si les systèmes qui la sous-tendent ne sont pas sécurisés.

Une étude révèle que Microsoft domine la fidélité à la marque pour les appareils de productivité

Plume, une plate-forme de logiciel en service pour les fournisseurs de services de communication, a publié son dernier rapport mensuel Plume IQ, basé sur les données et les informations axées sur le client. 

Des employés de Twilio victimes de textos prétendant provenir du service informatique

Des employés de Twilio sont tombés dans le piège d'une escroquerie par hameçonnage par SMS la semaine dernière, répondant à des messages prétendant provenir du service informatique de l'entreprise qui ont compromis leurs informations d'identification et conduit au vol de données client.

Balado Hashtag Tendances, 4 août 2022 — Des nouvelles d’Instagram, Amazon, Microsoft, Google et Meta

Balado Hashtag Tendances, 4 août 2022Cette semaine : Marche arrière pour Instagram, les géants portés par le nuage, augmenter la productivité de Google et une première baisse du chiffre d’affaires pour Meta.