Avec la migration progressive des entreprises vers le cloud et le télétravail, les cybercriminels exploitent les nouvelles habitudes de travail des employés notamment les outils collaboratifs. Selon une étude de ProofPoint, State of the Phishing 2020, les utilisateurs ont aujourd’hui sept fois plus de risques de cliquer sur des liens malveillants de SharePoint Online et OneDrive hébergés sur des domaines Microsoft légitimes.

Au cours du premier semestre 2020, Proofpoint a détecté 5,9 millions d’emails qui contenaient des liens SharePoint Online et OneDrive frauduleux. Alors que ces messages représentaient environ 1 % de l’échantillon total de messages avec des URL malveillantes avant l’enquête, ils représentaient plus de 13 % des clics des utilisateurs. De fait la menace s’est renfoncée, car les utilisateurs étaient 4 fois plus susceptibles de cliquer sur des liens SharePoint frauduleux et 11 fois plus susceptibles de cliquer sur des liens OneDrive frauduleux.

Toujours selon la même étude, les millions de messages frauduleux semblent avoir été émis à partir de plus de 5 500 comptes Microsoft compromis. Car le phishing sur SharePoint commence généralement par la compromission d’un compte dans le cloud. Une fois qu’il possède le contrôle du compte, l’attaquant charge un fichier malveillant et modifie ensuite les autorisations de partage du fichier en « Public » afin que le nouveau lien anonyme puisse être partagé avec n’importe qui. L’attaquant peut ensuite envoyer le lien par email ou le partager avec les contacts de l’utilisateur. C’est en ouvrant le fichier et en cliquant sur le lien malveillant intégré que le piège se referme.

Les entreprises doivent avoir une vision globale de la menace

« Pour se défendre contre les attaques hybrides telles que le phishing sur SharePoint et OneDrive, les entreprises doivent avoir une meilleure visibilité sur les vecteurs de menace que sont le courriel et le cloud, et adopter une approche globale de la chaîne d’attaque. Comprendre qui sont les personnes les plus ciblées est primordial. Entraîner les collaborateurs à éviter les pièges via des programmes de sensibilisation est également une clé essentielle pour limiter voire éviter le risque de fuite de données » explique Loïc Guézo, directeur stratégie cybersécurité Proofpoint.

Cependant, SharePoint Online et OneDrive ne sont pas les seuls services de collaboration exploités par des cybercriminels, comme en témoigne ce classement des 10 premiers domaines visés, selon le nombre de clics sur des liens malveillants au cours du premier semestre. Parmi les plus actifs, on retrouve Sway, la nouvelle application de Microsoft dédiée à la création et au partage de contenus interactifs ou Googleapis, un service d’hébergement de fichiers que les cybercriminels utilisent pour des escroqueries à l’assistance technique.