Une vaste campagne de hameçonnage vise les organisations utilisant Microsoft Office 365, incitant les victimes à se connecter à une page d’authentification en ligne Office usurpée pour voler leurs informations d’identification et, conséquemment, mener des escroqueries par compromission des courriels professionnels (CCP).
L’avertissement provient vient de Microsoft, qui indique que le cœur de l’attaque est ce qu’elle appelle des sites de hameçonnage « adverse-in-the-middle (AiTM) ». Il s’agit de sites Web usurpés qui déploient un serveur proxy entre un utilisateur cible et le site Web que l’utilisateur souhaite visiter.
Par conséquent, l’attaquant peut voler et intercepter le mot de passe de la victime et le cookie de session qui prouve que sa session en cours et authentifiée avec le site Web, même si la victime doit utiliser l’authentification multifacteur (AMF) pour se connecter.
« Notez qu’il ne s’agit pas d’une vulnérabilité dans l’AMF », explique Microsoft. « Étant donné que le hameçonnage AiTM vole le cookie de session, l’attaquant est authentifié à une session au nom de l’utilisateur, quelle que soit la méthode de connexion utilisée par ce dernier. »
Selon le rapport, cette stratégie d’attaque peut être contrée par des solutions anti-hameçonnage et des solutions antivirus qui détectent le vol de cookies de session et les tentatives d’utiliser le cookie volé pour se connecter à Exchange Online. il peut également être vaincu en complémentant l’AMF avec des politiques d’ accès conditionnel où les demandes de connexion sont évaluées à l’aide de signaux supplémentaires basés sur l’identité, tels que l’utilisateur, l’appartenance à un groupe, des informations de localisation IP et l’état de l’appareil, entre autres.
Les équipes de défense doivent également surveiller en permanence les activités suspectes ou anormales, telles que les tentatives de connexion avec des caractéristiques suspectes (par exemple, l’emplacement, le FAI, l’agent utilisateur, l’utilisation de services d’anonymisation) et les activités de boîte de courriel inhabituelles telles que la création de règles de boîte de réception avec des éléments suspects. à des fins suspectes ou des quantités inhabituelles d’événements d’accès aux éléments de courriel par des adresses IP ou des appareils non fiables.
Une façon courante dont les victimes sont trompées est de cliquer sur un lien dans un message qui prétend être un message vocal pour elles. Une fausse barre de progression de téléchargement, codée en dur dans le fichier HTML, trompe la victime en lui faisant croire qu’un fichier audio est en cours de téléchargement. Au lieu de cela, ils sont redirigés vers ce qui semble être une page Microsoft et invités à se connecter. L’adresse e-mail ou le nom d’utilisateur de la victime, capturé lors de cette action, est automatiquement rempli dans le formulaire, ajoutant de la crédibilité à l’arnaque.
Lire aussi :
La vulnérabilité Log4J atteint des proportions endémiques, selon un rapport
Des modules NPM malveillants téléchargés des milliers de fois
Les escroqueries par hameçonnage réussies ont augmenté en 2021
Adaptation et traduction française par Renaud Larue-Langlois
