Microsoft prévient d'une attaque par phishing visant à récupérer les identifiants de Microsoft 365

Publié le 04 septembre 2021 à 18h30

La technique est vieille comme Hérode mais fait encore ses preuves. Microsoft affirme continuer de lutter contre des tentatives d'extorsion de données des utilisateurs et utilisatrices de Microsoft 365. Les pirates utilisent la méthode du hameçonnage, ou phishing.

Les hackers sont de plus en plus ingénieux, puisque leur processus d'attaque contient notamment une vérification par CAPTCHA, rendant le lien infecté et son contenu plus vrai que nature et trompant ainsi encore plus aisément les utilisateurs et utilisatrices de Microsoft.

Le phishing, encore et toujours

Sur son site, Microsoft a annoncé le 26 août être en train de lutter contre des campagnes de phishing à répétition ciblant les utilisateurs et utilisatrices de Microsoft 365. Les équipes de la firme de Redmond font état de tentatives d'hameçonnage par des pirates à partir de liens de redirection intégrés dans des e-mails. L'innovation, dans le cadre de ces emails fallacieux, vient justement de ces mêmes liens de redirection, suffisamment peaufinés pour en tromper plus d'un.

Microsoft explique ainsi, dans le processus résumé par la figure ci-dessous, que les hackers ont pour objectif de récupérer les identifiants et mots de passe des usagers de Microsoft 365 par le biais de liens infectés. Jusque là, rien de très surprenant, mais la fourberie prend une ampleur supplémentaire lorsqu'une fenêtre impliquant une étape de vérification par CAPTCHA s'ouvre à vous. De quoi largement vous faire croire qu'il s'agit là d'un processus authentique, et ainsi mieux vous tromper.

Voici le mode opératoire employé. © Microsoft

La fenêtre suivante vous indique un message d'erreur vous demandant de retaper vos identifiants et mots de passe pour Microsoft 365. Et hop, le tour est joué, vos données sont collectées et récupérées par les pirates du Web derrière cette supercherie.

Des innovations fourbes

Parmi les avancées en termes de techniques rendant l'email et les liens toujours plus authentiques, la vérification par CAPTCHA fait bonne figure, puisqu'elle est désormais employée par de nombreux sites officiels pour vérifier que l'utilisateur ou utilisatrice est un humain et non un bot. Néanmoins, une nouvelle étape concerne les liens de redirection, car ces derniers sont très fréquemment employés dans le cadre d'emails commerciaux par exemple.

Plus encore, « les attaquants pourraient abuser des redirections ouvertes pour créer un lien vers une URL dans un domaine de confiance et intégrer l'éventuelle URL malveillante finale en tant que paramètre. De tels abus peuvent empêcher les utilisateurs et les solutions de sécurité de reconnaître rapidement d'éventuelles intentions malveillantes », précise Microsoft.

La détection est rendue d'autant plus complexe que les pirates utilisent un grand nombre de domaines – au moins 350 pour l'heure –, et ils sont très variés, selon la firme de Redmond. D'après cette dernière, cela illustre l'appât du gain potentiel pour les pirates car posséder un tel nombre de domaines nécessiterait d'importants investissements préalables de leur part. Via sa solution antivirus Windows Defender, la firme annonce ainsi plancher sur une détection affinée de ces emails frauduleux, tout en rappelant que 91 % des cyberattaques ont pour origine du courrier électronique vicié. Retrouvez tous les détails de ce mode opératoire dans la source indiquée ci-dessous.

Source : Microsoft

Par Thibaut Keutchayan

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train de taper dans un ballon.

Articles de Thibaut Keutchayan

Phishing

Microsoft

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

cid1

y en a marre du phishing et autres liens vérolé, enfin cette fois ils (MS) l’ont vu avant la cata.
pour ne pas se faire prendre, ne pas ouvrir les liens d’inconnus, pour les mails de grande entreprise, si vous n’avez rien sollicité ne pas ouvrir et si jamais vous l’ouvrez, vérifier le lien à ouvrir en mettant votre pointeur sur le lien, là il va vous affichez le nom complet du lien, ça s’affiche en bas du mail. Il y a aussi les liens venus de personnes connues qui peuvent ètre vérolé, donc prudence, je suis ces consignes et je n’ai jamais été pawned

Pronimo

Ouai, le mieux c’est toujours de respirer un coup avant de s’alarmer sur l’urgence ou l’important du mail et de cliquer sans reflechir (ça m’est arrivé une fois et j’avais direct formaté mon pc ensuite, meme si, une page web sans forcement interagir ça va encore ).

Aussi, bien regarder l’expéditeur (et encore c’est trompe œil!), dans le doute le plus simple avant c’est d’accéder au service comme vous les faites habituellement pour voir que tout fonctionne.

LeToi

Je ne suis pas forcément étonné du succès de l’hameçonnage, j’ai remarqué que pas mal de gens qui lisaient leurs mails, quel que soit leur âge, ne comprennent pas forcément grand chose au système et sont incapables de chercher l’adresse mail qui se cache derrière un alias, de repérer les innombrables fautes d’orthographe (exprès ?) contenues dans ces messages, de ne pas voir que leur nom n’est pas mentionné dans le mail, etc.
On demande à des gens qui ne comprennent pas grand chose à l’informatique d’avoir une adresse mail, ne serait-ce que pour utiliser un téléphone, et ça peut leur causer quelques soucis…

idhem59

Je bosse a la sécu dans une boîte tech, et il y a quelques mois on a organisé avec mon équipe une campagne de fishing sur Office 365 pour sensibiliser à la sécurité.

Un mail ressemblant à un mail Microsoft mais avec des détails douteux (police, expéditeur, etc), et renvoyant vers une fausse page d’invite de login O365.

Résultat de l’expérience sur environ 300 personnes : environ 40% ont cliqué sur le lien, et environ 30% ont donné leur login/password sur la page.

On parle ici d’une boîte de tech, donc les employés sont quand même sensé connaître ce genre de choses, alors ne soyons pas étonnés que ça fasse des ravages dans des milieux complètements étrangers a l’informatique, ou chez madame Michu qui ne sait pas ce qu’est une URL, un domaine d’expédition, ou du fishing.

cyrano66

Une idée pour eux.

Puisque tous nos mails sont scannés,

Plutôt que de coder des algorithmes pour détecter les pedophilies (avec une probabilité proche de zéro).
Plutôt que de développer des IA qui censurent les contenues anti vax (pour faire plaisir à Biden).

Faites plutôt dans l’utile et l’intelligent

Développez donc des IA qui proposeraient automatiquement un indice de confiance par mail.

Nota : je dépose un copyright sur l’idée.
Je demande que 0,00001$ par mail.
Dans 3 semaines je suis millionnaire

bmustang

bien dit ! Et y a pas que ça à revoir dans ces grands groupes qui perdent leur temps à nous proposer des âneries, des choses totalement inutiles.

idhem59

Pleins de choses existent déjà en ce sens.
Détection d’usurpation de domaine, détection de liens cachés dans les images, etc.

Autant faut-il que l’utilisateur lise l’avertissement écrit au dessus du mail.

Dans l’exemple que j’ai cité plus haut, sur le mail reçu il était clairement indiqué par O365 que ce mail usurpait le domaine de l’entreprise (domaine de l’entreprise chez Microsoft et mail envoyé depuis un relais SMTP Linux avec comme source le domaine de l’entreprise, donc c’est détecté comme usurpation), et pourtant ça clique quand même.

Squeak

On a beau dire dire aux gens « non, aucune société ne demande de s’authentifier par mail ou fournir un code pin ou autres » etc…

C’est tellement classique et malgré la communication il y en a malheureusement toujours qui se font avoir. Je pense qu’il faudrait rendre obligatoire l’authentification à deux facteurs ou les codes de récupération, ce serait un vrai plus pour la sécurité qu’un simple mot de passe (qui plus est, souvent réutilisé sur plein de sites).

La plupart des mails de ce genre chez moi sont directement en spam, donc c’est que la détection est déjà bien là.

cyrano66

Votre algorithme a détecté l’ironie de mon commentaire j’espère

Je sais bien.mais aucun n’est aussi complet et intrusif que ce qui est actuellement développé pour nous « protéger » malgré nous.

Quand il est possible de mettre en place d’autres outils, à un certain stade il faut arrêter de culpabiliser l’utilisateur.

La défaillance et la faille est souvent humaine. On le sait bien.

C’est comme les Password.
A un stade il faut arrêter de culpabiliser les gens de pas être capable de retenir de mémoire des suites complexes alphanumériques alors qu’ils existent d’autres solutions.

Sinon à quoi sert l’IA ?

idhem59

Quand je reçois un mail avec un bandeau en haut « attention, usurpation de l’adresse de l’expéditeur » je ne vois pas en quoi ce n’est pas clair. Mais autant faut-il lire.

Propose des solutions alors si c’est si évident.
Et pas juste la phrase magique de l’IA. C’est du discours de marketeux ça, la réalité technique est toute autre. D’autant plus que l’IA… Ça n’existe pas vraiment dans ce genre de cas de figure. Une IA ne fera que réagir à des scénarios pré-pensés et programmés par des humains.

Alors oui, il y a clairement une marge de progression quant à la détection des mails de phishing, mais on voit bien aujourd’hui que même avec des gros warnings clairement affichés quand le problème est détecté, ça n’empêche pas certains de tomber dans le panneau.

Il existe pourtant des solutions sécurisées permettant d’avoir des mots de passe aléatoires, complexes et uniques partout sans avoir à tous les retenir. C’est à la portée de n’importe qui prenant la peine de s’y intéresser.

Mais on en revient au problème éternel d’internet. Tout le monde a besoin de s’en servir au quotidien, mais on ne forme pas nécessairement aux bonnes pratiques.