À la chasse aux comptes Office 365

Les cybercriminels arrivent à contourner les filtres anti-spam des e-mails en cachant dans SharePoint Online des documents qui contiennent un lien malveillant.

Depuis au moins l’été dernier, des cybercriminels inconnus ont envoyé des e-mails aux utilisateurs d’Office 365, en espérant obtenir leurs identifiants. Selon les premiers chercheurs à avoir découvert cette attaque, près de 10 % des utilisateurs de ce service aurait reçu un message similaire.

Campagne PhishPoint

Cette arnaque par e-mails ressemble à des invitations normales, que le destinataire reçoit généralement pour collaborer sur SharePoint. Le message demande à l’utilisateur d’ouvrir un document gardé sur OneDrive Entreprise. Cette méthode est astucieuse, puisque le lien qui figure dans l’e-mail désigne réellement un document sauvegardé sur OneDrive Entreprise, sauf que ce fichier se fait passer pour une demande d’accès. Le lien de ce « document d’accès », qui se trouve en bas de la page, redirige la victime vers un site Internet tiers qui imite la page de connexion de Microsoft Office 365.

Les espaces de travail d’une entreprise sont généralement considérés comme plus fiables que d’autres ressources, et les utilisateurs pourraient penser que les personnes extérieures ne peuvent pas vraiment avoir accès à leurs services SharePoint. C’est pourquoi ils suivent audacieusement le lien qui les redirige vers ce site Internet, et qui s’avère être une arnaque. Si la victime saisit ses identifiants personnels sur ce site, les propriétaires du fichier pourront y accéder.

Grâce à ses identifiants, les cybercriminels pourraient éventuellement obtenir tous les avantages de la victime, et accéder aux e-mails, au stockage du Cloud, et aux informations professionnelles confidentielles. En se cachant derrière un compte professionnel, les escrocs peuvent voler des informations sensibles et les donner à la concurrence, diffuser des malwares, ou utiliser l’identité de l’employé et les informations relatives au projet à des fins d’harponnage.

Toute l’ingéniosité de cette attaque repose dans le fait que les filtres d’e-mails vérifient le lien du message, et qu’il apparaît comme parfaitement sûr. Il fait référence à un espace de travail qui a une très bonne réputation. Cependant, lorsque l’utilisateur accède à ce fichier, sa protection ne relève plus de la compétence des filtres d’e-mails, mais de la solution de sécurité installée directement sur l’ordinateur.

Comment protéger votre entreprise et vos employés

Voici quelques conseils pour que vos employés soient plus vigilants, et pour améliorer la sécurité de votre entreprise et vous protéger contre cette attaque, et d’autres similaires :

  • Parlez de cette arnaque avec les employés qui utilisent Office 365. Les liens qui redirigent l’utilisateur vers des documents sont rarement envoyés sur un coup de tête, et sans en avoir parlé. Par conséquent, avant d’ouvrir un document envoyé sans explication, demandez toujours confirmation à la personne qui en serait l’expéditrice.
  • Adoptez un point de vue critique lorsque vous recevez des e-mails envoyés par des adresses inconnues, et dites à vos employés de faire de même ; donnez suite à ces soupçons.
  • Protégez le poste de travail de chaque employé en utilisant une solution de cybersécurité pour les points de terminaison. Cette protection est vitale pour bloquer les méthodes d’hameçonnage comme celle-ci.
Conseils