L’essor du télétravail a amené les cybercriminels à s’intéresser de plus près à la suite Office 365, une des plateformes de collaboration les plus utilisées et basées sur le Cloud.
Le plan d’attaque est simple : les cybercriminels trompent un employé de l’entreprise en le redirigeant vers une fausse page de connexion Office 365 et lui demandent de saisir ses identifiants. En d’autres termes, c’est de l’hameçonnage. Les escrocs ont recours à divers stratagèmes pour obtenir les identifiants et les mots de passe des utilisateurs mais voici les méthodes les plus courantes.
Faux messages Teams
En général, lorsque les cybercriminels envoient un e-mail qui cherche à se faire passer pour une notification de Microsoft Teams, ils soulignent l’urgence de la situation et espèrent que le destinataire ne va pas prendre le temps de lire attentivement le message et ne va pas détecter les défauts. La ligne directrice du message peut, par exemple, être une demande urgente pour que la victime clique sur le bouton Répondre dans Teams et soit redirigée vers une fausse page de connexion.
Si les escrocs ont bien fait leur travail, la notification devrait inclure le nom et la photo d’un de vos collègues, ce qui ressemblerait à une attaque BEC interne mais, dans la plupart des cas, il s’agit d’une personne lambda. Les cybercriminels pensent également que l’angoisse de la victime, à l’idée qu’un de ses proches puissent se retrouver dans une telle situation d’urgence, va l’inciter à cliquer sur le bouton.
Notification échec de l’envoi
Un autre faux problème créé de toute pièce pour que le destinataire se sente dans l’urgence consiste à lui communiquer que l’envoi du message aurait échoué à cause d’une erreur d’authentification, par exemple. Dans ce cas, la victime doit cliquer pour récupérer le message. Pourtant, les cybercriminels ne sont pas allés jusqu’au bout et n’ont pas créé de page de connexion Office 365 plausible.
Il se pourrait que cette imitation soit beaucoup plus convaincante la prochaine fois et, dans ce cas, le destinataire devra avoir recours à d’autres méthodes pour détecter l’hameçonnage. Il convient de souligner que c’est l’expéditeur et non le destinataire qui reçoit une notification d’échec de l’envoi. Si le serveur a pu identifier le destinataire alors le message sera envoyé sans souci.
Notification boîte de réception pleine
En envoyant une notification indiquant que la boîte de réception est pleine et que la victime pourrait souffrir de graves conséquences, avec l’idée horrible qu’elle n’a peut-être pas pu recevoir un message, les cybercriminels cherchent tout simplement à affoler les employés pour qu’ils commettent une erreur. Deux options s’offrent à eux : effacer ou télécharger les messages. La plupart des gens vont choisir cette seconde possibilité et mordre à l’hameçon, un bouton « Cliquer ici« .
Remarquez que dans ce cas, les cybercriminels ont fait des efforts puisque cet e-mail contient un paragraphe au sujet de la responsabilité sociale de l’entreprise, étant donné l’ampleur de la pandémie, même s’ils n’ont pas pris la peine d’utiliser un anglais des affaires convaincant. Là encore, si le destinataire n’agit pas sous la panique il pourrait détecter les signes d’une communication frauduleuse.
Notification mot de passe expiré
La modification du mot de passe est une procédure assez courante. La politique de votre entreprise devrait demander à vos employés de le faire régulièrement, et le service chargé de la sécurité pourrait l’exiger comme précaution en cas de fuite. Évidemment, vous devez d’abord saisir l’ancien mot de passe pour pouvoir le modifier. Par conséquent, les demandes de modification du mot de passe sont la base des e-mails d’hameçonnage.
Même si vous ne détectez pas les erreurs de langue dans l’e-mail, la page de connexion ne réussit pas à passer un examen minutieux.
Comment éviter d’être piraté
N’oubliez pas que les informations relatives à votre compte permettent non seulement d’envoyer des e-mails à partir de l’adresse d’un employé mais aussi d’accéder à tous les renseignements conservés dans la boîte de réception. Vous devez minutieusement analyser n’importe quelle page qui vous demande de saisir vos identifiants professionnels, surtout si on vous demande d’agir rapidement. Il vous suffit de suivre ces deux conseils clés :
- Vérifiez toujours l’adresse de la page qui vous demande de saisir vos identifiants. Selon le service, les pages de connexion légitimes peuvent inclure microsoftonline.com, outlook.office.com, onmicrosoft.com, ou le nom de domaine de votre entreprise.
- Déployez une solution de sécurité robuste dans toute l’entreprise pour bloquer les e-mails d’hameçonnage.