Le lien d’hameçonnage dans le corps du message est une technique démodée. Les filtres des messageries électroniques détectent désormais cette astuce avec une efficacité qui ronde les 100 %. C’est pourquoi les cybercriminels ne cessent d’inventer de nouvelles méthodes pour obtenir les identifiants de connexion des employés d’une entreprise. Nous avons récemment détecté une technique plutôt intéressante qui exploite les serveurs parfaitement légitimes de SharePoint. Dans cet article, nous vous expliquons le fonctionnement de cette méthode et ce à quoi les employés doivent faire attention pour ne pas avoir d’ennuis.
L’anatomie de l’hameçonnage via SharePoint
L’employé reçoit une notification normale à propos d’une personne qui partage un fichier. Cela n’a rien d’inquiétant, surtout si les employés de l’entreprise ont l’habitude d’utiliser SharePoint pour travailler. Cela s’explique simplement par le fait qu’il s’agit d’une vraie notification envoyée par un serveur SharePoint authentique.
L’employé qui ne se doute de rien clique sur le lien et est redirigé vers un serveur SharePoint ordinaire, là où le fichier OneNote mentionné se trouve. Sauf qu’une fois à l’intérieur, la notification ressemble à celle d’un autre fichier et contient une icône surdimensionnée (d’un fichier PDF cette fois). Pensant qu’il s’agit d’une étape normale du processus de téléchargement, la victime clique sur le lien ; un lien d’hameçonnage en bonne et due forme.
Ce lien ouvre un site d’hameçonnage standard qui est une copie de la page de connexion OneDrive et qui vole les identifiants des comptes Yahoo!, AOL, Outlook, Office 365 ou de tout autre service de messagerie.
Pourquoi ce type d’hameçonnage est particulièrement dangereux
Cet hameçonnage basé sur SharePoint n’est pas une nouveauté. Mais cette fois les cybercriminels ne se contentent pas de cacher le lien d’hameçonnage sur un serveur SharePoint puisqu’ils en profitent pour le distribuer en utilisant le mécanisme natif de notification de la plateforme. Cela est possible parce que, grâce aux développeurs de Microsoft, SharePoint a une fonctionnalité qui permet de partager un fichier stocké sur le site SharePoint d’une entreprise avec des participants externes qui n’ont pas directement accès au serveur. L’entreprise explique comment procéder sur son site.
Les cybercriminels n’ont qu’à accéder au serveur SharePoint d’une personne, en utilisant une technique d’hameçonnage similaire ou différente. Ensuite, ils n’ont qu’à télécharger le fichier avec le lien et ajouter les e-mails avec lesquels ils souhaitent le partager. SharePoint avertit gentiment les propriétaires, et ces notifications passent tous les filtres puisqu’elles sont envoyées par le service légitime d’une vraie entreprise.
Comment vous protéger
Pour éviter que vos employés ne soient victimes d’une arnaque par e-mail, ils doivent être capables de détecter les signes indicateurs. Dans ce cas, les signaux d’alerte sont les suivants :
- Quand vous ne connaissez pas la personne qui a partagé le fichier (il vaut mieux de jamais ouvrir les fichiers envoyés par des inconnus).
- Quand vous ne savez pas de quel genre de fichier il s’agit (en général, les gens ne partagent pas soudainement des fichiers sans expliquer de quoi il s’agit et pourquoi ils les envoient).
- Le message parle d’un fichier OneNote mais vous voyez un fichier PDF sur le serveur.
- Le lien de téléchargement du fichier vous redirige vers un site tiers qui n’a aucun lien avec l’entreprise ou SharePoint.
- Le fichier se trouve soi-disant sur un serveur SharePoint mais le site est une copie de OneDrive. Ce sont deux services différents de Microsoft.
Pour en être sûr, nous vous conseillons d’organiser régulièrement des formations en cybersécurité pour vos employés. Une plateforme en ligne spécialisée peut vous aider.
Le scénario décrit ci-dessus montre clairement que les solution de sécurité équipées d’une technologie anti-hameçonnage doivent être installées au niveau du serveur de messagerie de l'entreprise mais aussi sur tous les postes de travail des employés.