Les comptes Microsoft 365, qui regroupent tous les services de Microsoft (Word, PowerPoint, Excel, Outlook...), ont une grande valeur pour les pirates. Grâce au confinement, ils peuvent exploiter un nouveau moyen d'y accéder : le service de visioconférence Microsoft Teams.

Zoom n’est pas le seul logiciel de visioconférence à servir d’appât : Microsoft Teams est également visé par une campagne d’hameçonnage spécifique, repérée par l’entreprise Abnormal Security.

Pour piéger leurs victimes, les hackers envoient une copie très ressemblante d’une notification automatique de Microsoft Team. À partir de ce message, les personnes visées pensent se connecter à leur compte pour rejoindre une réunion, mais ils entrent en réalité leurs identifiants sur une page frauduleuse tenue par les pirates. Les malfaiteurs gagnent ainsi un accès à leur compte Microsoft 365, anciennement Office 365, et mettent un pied dans l’entreprise. Une fois en possession de ces informations — et sans réaction rapide de la part de la victime –, ils peuvent faire du cyberespionnage grâce à l’accès à la messagerie et aux documents hébergés dans le cloud, puis vendre les informations ou s’en servir pour des manœuvres de chantage.

En dérobant des comptes Office 365, les pirates mettent la main sur la messagerie Outlook et sur les documents Excel, Word et PowerPoint de la victime. // Source : Wikimedia

Ils peuvent aussi utiliser leur contrôle sur la messagerie Outlook pour augmenter les chances de réussite d’un phishing contre des collègues de la victime, qui aurait par exemple pour objectif de répandre un rançongiciel. Si les pirates ne disposent pas de ce genre de malware sophistiqué, ils peuvent aussi usurper l’identité de leur victime — si elle a des responsabilités dans l’entreprise — pour demander des virements frauduleux : on parle alors « d’arnaque au patron ».

Vous l’aurez compris : les comptes Microsoft 365 sont des cyberarmes de valeur pour les pirates. Et en plus, le nombre de victimes potentielles a explosé sur ces derniers mois, à la faveur de l’augmentation du télétravail liée au confinement. Microsoft revendique désormais plus de 75 millions d’utilisateurs quotidiens, soit 70 % de plus que l’année dernière. Cette campagne de phishing est anglophone, mais pourrait aisément être transposée en France.

Le phishing trompe le filtre antispam

Cette campagne de phishing se distingue sur deux points. D’abord, elle profite de sa ressemblance avec les messages officiels du logiciel grâce à des images identiques et aucune faute de grammaire. « Ce constat est d’autant plus vrai dans la version mobile où les images prennent la majorité de l’écran », précisent les chercheurs d’Abnormal Security.

Ensuite, elle parvient à passer outre le filtre antispam d’Outlook grâce à un système de redirection destiné à dissimuler l’adresse de la page frauduleuse sur laquelle sera envoyée la victime.  Les chercheurs prennent l’exemple d’une URL hébergée sur YouTube, puis redirigée deux fois, avant d’enfin aboutir sur la page frauduleuse. Ces multiples redirections peuvent donner la puce à l’oreille de la victime, mais au moins, elles permettent d’aller jusqu’à elle.

Un peu oublié dans la tempête autour des multiples problèmes de sécurité de Zoom, Microsoft Teams doit aussi régler ces problèmes. La semaine dernière, l’entreprise américaine a dû réparer une vulnérabilité qui permettait de pirater les comptes grâce à un simple GIF. 

Crédit photo de la une : Microsoft 365 - YouTube

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux