{"id":16817,"date":"2021-04-22T10:06:24","date_gmt":"2021-04-22T08:06:24","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16817"},"modified":"2021-04-22T10:06:24","modified_gmt":"2021-04-22T08:06:24","slug":"office-phishing-html-attachment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/office-phishing-html-attachment\/16817\/","title":{"rendered":"Techniques d’hame\u00e7onnage avec Microsoft Office"},"content":{"rendered":"

Gr\u00e2ce aux adresses e-mail professionnelles, les cybercriminels peuvent mener des attaques afin de compromettre la messagerie de l\u2019entreprise<\/a>. D\u2019ailleurs, il existe de nombreux e-mails d\u2019hame\u00e7onnage qui incitent les utilisateurs \u00e0 se connecter sur des sites qui ressemblent \u00e0 la page de connexion de MS Office. C\u2019est pour cette raison <\/em>que vous devez savoir \u00e0 quoi faire attention si un lien vous renvoie vers \u00e0 une page comme celle-l\u00e0.<\/p>\n

Les cybercriminels qui volent les donn\u00e9es de connexion des comptes Microsoft Office ne datent pas d\u2019hier<\/a>. Cependant, les techniques que les cybercriminels utilisent pour mener leurs attaques sont de plus en plus sophistiqu\u00e9es. Aujourd\u2019hui, nous allons nous r\u00e9f\u00e9rer \u00e0 un cas r\u00e9el\u00a0(un message que nous avons re\u00e7u) pour vous expliquer les meilleures choses \u00e0 faire et vous pr\u00e9senter leurs nouvelles astuces.<\/p>\n

Nouvelle ruse de phishing : pi\u00e8ce jointe au format HTML<\/h2>\n

Un e-mail d\u2019hame\u00e7onnage contient g\u00e9n\u00e9ralement un lien hypertexte qui renvoie vers un faux site. Comme nous disons toujours, les liens hypertexte doivent \u00eatre examin\u00e9s de pr\u00e8s. Il faut prendre en compte leur apparence g\u00e9n\u00e9rale et la v\u00e9ritable adresse \u00e0 laquelle ils renvoient (la plupart des services de messagerie et des interfaces Web permettent de voir l\u2019adresse cible en passant la sourie sur l\u2019URL). Bien entendu, une fois que les gens ont compris la technique, les escrocs ont commenc\u00e9 \u00e0 remplacer les liens par des fichiers joints au format HTML dont le seul r\u00f4le est de rediriger automatiquement la victime vers un site.<\/p>\n

Lorsque l\u2019on clique sur le fichier joint HTML, ce dernier s\u2019ouvre dans un nouvel onglet. En ce qui concerne l\u2019aspect hame\u00e7onnage, le fichier ne pr\u00e9sente qu\u2019une seule ligne de code (javascript: window.location.href), avec l\u2019adresse du faux site en tant que variable. Cela force le navigateur \u00e0 ouvrir le site Web dans la m\u00eame fen\u00eatre.<\/p>\n

Que chercher dans un e-mail d\u2019hame\u00e7onnage<\/h2>\n

Si nous laissons de c\u00f4t\u00e9 les nouvelles techniques, l\u2019hame\u00e7onnage reste de l\u2019hame\u00e7onnage, donc commencez par analyser l\u2019e-mail. Voici le message que nous avons re\u00e7u. Ici, il s\u2019agit d\u2019une fausse notification d\u2019un message vocal.<\/p>\n

\"E-mail

E-mail d\u2019hame\u00e7onnage<\/p><\/div>\n

Avant de cliquer sur le fichier joint, vous devez vous poser quelques questions\u00a0:<\/p>\n

    \n
  1. Connaissez-vous l\u2019exp\u00e9diteur\u00a0? Est-il possible que ce dernier vous laisse un message vocal au travail\u00a0?<\/li>\n
  2. Est-ce courant d\u2019envoyer des messages vocaux par e-mail dans votre entreprise\u00a0? Bien qu\u2019on ne l\u2019utilise plus trop de nos jours, Microsoft 365 ne prend plus en charge la messagerie vocale depuis janvier 2020.<\/li>\n
  3. Savez-vous pr\u00e9cis\u00e9ment quelle application vous a envoy\u00e9 la notification\u00a0? MS Recorder ne fait pas partie du pack Office. De plus, l\u2019application d\u2019enregistrement audio par d\u00e9faut de Microsoft qui pourrait en th\u00e9orie envoyer des messages vocaux, s\u2019appelle Voice Recorder et non MS Recorder.<\/li>\n
  4. Est-ce que le fichier joint ressemble \u00e0 un fichier audio\u00a0? Voice Recorder permet de partager des enregistrements audios, mais sous la forme d\u2019un fichier ayant l\u2019extension .m3a. M\u00eame si l\u2019enregistrement provient d\u2019une source inconnue et qu\u2019il est stock\u00e9 sur un serveur, il devrait y avoir un lien et non une pi\u00e8ce jointe.<\/li>\n<\/ol>\n

    En conclusion, nous avons un e-mail provenant d\u2019une source inconnue contenant soi-disant un message vocal (une fonctionnalit\u00e9 que nous n\u2019utilisons jamais) enregistr\u00e9 par un programme inconnu et envoy\u00e9 en tant que pi\u00e8ce jointe sur une page Web. Est-ce que \u00e7a vaut la peine de l\u2019ouvrir\u00a0? Certainement pas.<\/p>\n

    Comment reconna\u00eetre une page d\u2019hame\u00e7onnage<\/h2>\n

    Supposons que vous avez cliqu\u00e9 sur le fichier joint qui vous a redirig\u00e9 vers une page de phishing. Comment savoir que ce n\u2019est pas un site l\u00e9gitime\u00a0?<\/p>\n

    \"Une

    Une page de phishing<\/p><\/div>\n

    Voici ce que vous devez regarder\u00a0:<\/p>\n

      \n
    1. Le contenu de la barre d\u2019adresse ressemble-t-il \u00e0 celui d\u2019une adresse de Microsoft\u00a0?<\/li>\n
    2. Est-ce que les liens \u00ab\u00a0Impossible d\u2019acc\u00e9der \u00e0 votre compte ?\u00a0\u00bb et \u00ab\u00a0Se connecter avec une cl\u00e9 de s\u00e9curit\u00e9\u00a0\u00bb vous redirigent au bon endroit ? M\u00eame sur une page de phishing, ils peuvent renvoyer vers une vraie page Microsoft. Dans notre cas ils \u00e9taient inactifs, ce qui prouve qu\u2019il s\u2019agit d\u2019une escroquerie.<\/li>\n
    3. La fen\u00eatre est-elle normale\u00a0? Microsoft n\u2019a g\u00e9n\u00e9ralement aucun probl\u00e8me avec les d\u00e9tails tels que les images de fond. Bien entendu, des bugs peuvent arriver \u00e0 tout le monde, mais les anomalies devraient vous mettre la puce \u00e0 l\u2019oreille.<\/li>\n<\/ol>\n

      Dans tous les cas, si vous avez un doute, allez sur https:\/\/login.microsoftonline.com\/<\/a> pour voir \u00e0 quoi ressemble la vraie page de connexion de Microsoft.<\/p>\n

      Comment ne pas mordre \u00e0 l\u2019hame\u00e7on<\/h2>\n

      Pour \u00e9viter de donner le mot de passe de votre compte Office aux cybercriminels\u00a0:<\/p>\n