{"id":20363,"date":"2023-03-30T15:28:34","date_gmt":"2023-03-30T13:28:34","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20363"},"modified":"2023-03-30T15:28:34","modified_gmt":"2023-03-30T13:28:34","slug":"sharepoint-notification-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/sharepoint-notification-scam\/20363\/","title":{"rendered":"L’utilisation de SharePoint comme outil d’hame\u00e7onnage"},"content":{"rendered":"

Le lien d\u2019hame\u00e7onnage dans le corps du message est une technique d\u00e9mod\u00e9e. Les filtres des messageries \u00e9lectroniques d\u00e9tectent d\u00e9sormais cette astuce avec une efficacit\u00e9 qui ronde les 100 %. C\u2019est pourquoi les cybercriminels ne cessent d\u2019inventer de nouvelles m\u00e9thodes pour obtenir les identifiants de connexion des employ\u00e9s d\u2019une entreprise. Nous avons r\u00e9cemment d\u00e9tect\u00e9 une technique plut\u00f4t int\u00e9ressante qui exploite les serveurs parfaitement l\u00e9gitimes de SharePoint. Dans cet article, nous vous expliquons le fonctionnement de cette m\u00e9thode et ce \u00e0 quoi les employ\u00e9s doivent faire attention pour ne pas avoir d\u2019ennuis.<\/p>\n

L\u2019anatomie de l\u2019hame\u00e7onnage via SharePoint<\/h2>\n

L\u2019employ\u00e9 re\u00e7oit une notification normale \u00e0 propos d\u2019une personne qui partage un fichier. Cela n\u2019a rien d\u2019inqui\u00e9tant, surtout si les employ\u00e9s de l\u2019entreprise ont l\u2019habitude d\u2019utiliser SharePoint pour travailler. Cela s\u2019explique simplement par le fait qu\u2019il s\u2019agit d\u2019une vraie notification envoy\u00e9e par un serveur SharePoint authentique.<\/p>\n

\"Notification<\/a>

Notification l\u00e9gitime envoy\u00e9e par un serveur SharePoint.<\/p><\/div>\n

\u00a0<\/p>\n

L\u2019employ\u00e9 qui ne se doute de rien clique sur le lien et est redirig\u00e9 vers un serveur SharePoint ordinaire, l\u00e0 o\u00f9 le fichier OneNote mentionn\u00e9 se trouve. Sauf qu\u2019une fois \u00e0 l\u2019int\u00e9rieur, la notification ressemble \u00e0 celle d\u2019un autre fichier et contient une ic\u00f4ne surdimensionn\u00e9e (d\u2019un fichier PDF cette fois). Pensant qu\u2019il s\u2019agit d\u2019une \u00e9tape normale du processus de t\u00e9l\u00e9chargement, la victime clique sur le lien\u00a0; un lien d\u2019hame\u00e7onnage en bonne et due forme.<\/p>\n

\"Contenu<\/a>

Contenu du soi-disant fichier OneNote sur le serveur SharePoint.<\/p><\/div>\n

\u00a0<\/p>\n

Ce lien ouvre un site d\u2019hame\u00e7onnage standard qui est une copie de la page de connexion OneDrive et qui vole les identifiants des comptes Yahoo!, AOL, Outlook, Office 365 ou de tout autre service de messagerie.<\/p>\n

\"Fausse<\/a>

Fausse page de connexion OneDrive de Microsoft.<\/p><\/div>\n

\u00a0<\/p>\n

Pourquoi ce type d\u2019hame\u00e7onnage est particuli\u00e8rement dangereux<\/p>\n

Cet hame\u00e7onnage bas\u00e9 sur SharePoint n\u2019est pas une nouveaut\u00e9<\/a>. Mais cette fois les cybercriminels ne se contentent pas de cacher le lien d\u2019hame\u00e7onnage sur un serveur SharePoint puisqu\u2019ils en profitent pour le distribuer en utilisant le m\u00e9canisme natif de notification de la plateforme. Cela est possible parce que, gr\u00e2ce aux d\u00e9veloppeurs de Microsoft, SharePoint a une fonctionnalit\u00e9 qui permet de partager un fichier stock\u00e9 sur le site SharePoint d\u2019une entreprise avec des participants externes qui n\u2019ont pas directement acc\u00e8s au serveur. L\u2019entreprise explique comment proc\u00e9der<\/a> sur son site.<\/p>\n

Les cybercriminels n\u2019ont qu\u2019\u00e0 acc\u00e9der au serveur SharePoint d\u2019une personne, en utilisant une technique d\u2019hame\u00e7onnage similaire ou diff\u00e9rente. Ensuite, ils n\u2019ont qu\u2019\u00e0 t\u00e9l\u00e9charger le fichier avec le lien et ajouter les e-mails avec lesquels ils souhaitent le partager. SharePoint avertit gentiment les propri\u00e9taires, et ces notifications passent tous les filtres puisqu\u2019elles sont envoy\u00e9es par le service l\u00e9gitime d\u2019une vraie entreprise.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Pour \u00e9viter que vos employ\u00e9s ne soient victimes d\u2019une arnaque par e-mail, ils doivent \u00eatre capables de d\u00e9tecter les signes indicateurs. Dans ce cas, les signaux d\u2019alerte sont les suivants\u00a0:<\/p>\n