{"id":15202,"date":"2020-07-03T13:12:25","date_gmt":"2020-07-03T13:12:25","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15202"},"modified":"2020-07-03T13:12:25","modified_gmt":"2020-07-03T13:12:25","slug":"office-365-credentials-hunt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/office-365-credentials-hunt\/15202\/","title":{"rendered":"\u00c0 la chasse des comptes Office 365"},"content":{"rendered":"

L\u2019essor du t\u00e9l\u00e9travail a amen\u00e9 les cybercriminels \u00e0 s\u2019int\u00e9resser de plus pr\u00e8s \u00e0 la suite Office 365, une des plateformes de collaboration les plus utilis\u00e9es et bas\u00e9es sur le Cloud.<\/p>\n

Le plan d\u2019attaque est simple\u00a0: les cybercriminels trompent un employ\u00e9 de l\u2019entreprise en le redirigeant vers une fausse page de connexion Office 365 et lui demandent de saisir ses identifiants. En d\u2019autres termes, c\u2019est de l\u2019hame\u00e7onnage. Les escrocs ont recours \u00e0 divers stratag\u00e8mes pour obtenir les identifiants et les mots de passe des utilisateurs mais voici les m\u00e9thodes les plus courantes.<\/p>\n

Faux messages Teams<\/h2>\n

En g\u00e9n\u00e9ral, lorsque les cybercriminels envoient un e-mail qui cherche \u00e0 se faire passer pour une notification de Microsoft Teams, ils soulignent l\u2019urgence de la situation et esp\u00e8rent que le destinataire ne va pas prendre le temps de lire attentivement le message et ne va pas d\u00e9tecter les d\u00e9fauts. La ligne directrice du message peut, par exemple, \u00eatre une demande urgente pour que la victime clique sur le bouton R\u00e9pondre dans Teams<\/em> et soit redirig\u00e9e vers une fausse page de connexion.<\/p>\n

\"Faux

Faux message Teams. E-mail et page de connexion.<\/p><\/div>\n

Si les escrocs ont bien fait leur travail, la notification devrait inclure le nom et la photo d\u2019un de vos coll\u00e8gues, ce qui ressemblerait \u00e0 une attaque BEC interne<\/a> mais, dans la plupart des cas, il s\u2019agit d\u2019une personne lambda. Les cybercriminels pensent \u00e9galement que l\u2019angoisse de la victime, \u00e0 l\u2019id\u00e9e qu\u2019un de ses proches puissent se retrouver dans une telle situation d\u2019urgence, va l\u2019inciter \u00e0 cliquer sur le bouton.<\/p>\n

Notification \u00e9chec de l\u2019envoi<\/h2>\n

Un autre faux probl\u00e8me cr\u00e9\u00e9 de toute pi\u00e8ce pour que le destinataire se sente dans l\u2019urgence consiste \u00e0 lui communiquer que l\u2019envoi du message aurait \u00e9chou\u00e9 \u00e0 cause d\u2019une erreur d\u2019authentification, par exemple. Dans ce cas, la victime doit cliquer pour r\u00e9cup\u00e9rer le message. Pourtant, les cybercriminels ne sont pas all\u00e9s jusqu\u2019au bout et n\u2019ont pas cr\u00e9\u00e9 de page de connexion Office 365 plausible.<\/p>\n

\"Fausse

Fausse notification indiquant que l\u2019e-mail n\u2019a pas pu \u00eatre envoy\u00e9. E-mail et page de connexion.<\/p><\/div>\n

Il se pourrait que cette imitation soit beaucoup plus convaincante la prochaine fois et, dans ce cas, le destinataire devra avoir recours \u00e0 d\u2019autres m\u00e9thodes pour d\u00e9tecter l\u2019hame\u00e7onnage<\/a>. Il convient de souligner que c\u2019est l\u2019exp\u00e9diteur et non le destinataire qui re\u00e7oit une notification d\u2019\u00e9chec de l\u2019envoi. Si le serveur a pu identifier le destinataire alors le message sera envoy\u00e9 sans souci.<\/p>\n

Notification bo\u00eete de r\u00e9ception pleine<\/h2>\n

En envoyant une notification indiquant que la bo\u00eete de r\u00e9ception est pleine et que la victime pourrait souffrir de graves cons\u00e9quences, avec l\u2019id\u00e9e horrible qu\u2019elle n\u2019a peut-\u00eatre pas pu recevoir un message, les cybercriminels cherchent tout simplement \u00e0 affoler les employ\u00e9s pour qu\u2019ils commettent une erreur. Deux options s\u2019offrent \u00e0 eux : effacer ou t\u00e9l\u00e9charger les messages. La plupart des gens vont choisir cette seconde possibilit\u00e9 et mordre \u00e0 l\u2019hame\u00e7on, un bouton \u00ab\u00a0Cliquer ici<\/em>\u00ab\u00a0.<\/p>\n

\"Fausse

Fausse notification indiquant que la bo\u00eete de r\u00e9ception est pleine. E-mail et page de connexion.<\/p><\/div>\n

Remarquez que dans ce cas, les cybercriminels ont fait des efforts puisque cet e-mail contient un paragraphe au sujet de la responsabilit\u00e9 sociale de l\u2019entreprise, \u00e9tant donn\u00e9 l\u2019ampleur de la pand\u00e9mie, m\u00eame s\u2019ils n\u2019ont pas pris la peine d\u2019utiliser un anglais des affaires convaincant. L\u00e0 encore, si le destinataire n\u2019agit pas sous la panique il pourrait d\u00e9tecter les signes d\u2019une communication frauduleuse.<\/p>\n

Notification mot de passe expir\u00e9<\/h2>\n

La modification du mot de passe est une proc\u00e9dure assez courante. La politique de votre entreprise devrait demander \u00e0 vos employ\u00e9s de le faire r\u00e9guli\u00e8rement, et le service charg\u00e9 de la s\u00e9curit\u00e9 pourrait l\u2019exiger comme pr\u00e9caution en cas de fuite. \u00c9videmment, vous devez d\u2019abord saisir l\u2019ancien mot de passe pour pouvoir le modifier. Par cons\u00e9quent, les demandes de modification du mot de passe sont la base des e-mails d\u2019hame\u00e7onnage.<\/p>\n

\"Fausse

Fausse notification indiquant que le mot de passe va bient\u00f4t expirer. E-mail et page de connexion.<\/p><\/div>\n

M\u00eame si vous ne d\u00e9tectez pas les erreurs de langue dans l\u2019e-mail, la page de connexion ne r\u00e9ussit pas \u00e0 passer un examen minutieux.<\/p>\n

Comment \u00e9viter d\u2019\u00eatre pirat\u00e9<\/h2>\n

N\u2019oubliez pas que les informations relatives \u00e0 votre compte permettent non seulement d\u2019envoyer des e-mails \u00e0 partir de l\u2019adresse d\u2019un employ\u00e9 mais aussi d\u2019acc\u00e9der \u00e0 tous les renseignements conserv\u00e9s dans la bo\u00eete de r\u00e9ception. Vous devez minutieusement analyser n\u2019importe quelle page qui vous demande de saisir vos identifiants professionnels, surtout si on vous demande d\u2019agir rapidement. Il vous suffit de suivre ces deux conseils cl\u00e9s\u00a0:<\/p>\n