Un temps détrôné par PayPal, Microsoft vient de remonter sur le trône des noms de marque les plus utilisés pour la création de sites d’hameçonnage. Le classement trimestriel réalisé par Vade Secure, le spécialiste de la protection des boîtes email, enregistre la remontée de Microsoft après une dégringolade à la troisième place, derrière PayPal et Facebook, au quatrième trimestre de 2019. Vade Secure a détecté lors de ce 1er trimestre 2020, deux fois plus d’URL de phishing au nom de Microsoft que de PayPal, qui reste pourtant en 2e position.
Les cybermalfaiteurs sont des chasseurs à l’approche : ils exploitent toutes les pistes qui les mèneraient vers des proies lucratives. Avec la généralisation du télétravail et la migration massive des entreprises vers les outils de productivité dans le cloud, notamment Microsoft 365, les hackers ont changé de piste de traque. Ils ont visé les professionnels en espérant profiter de la confusion, réelle ou supposée, des nouveaux télétravailleurs. Pour preuve, les sites grand public, Netflix et Whatsapp principalement, ont nettement reculé dans le classement, perdant respectivement 8 et 14 places.
Microsoft a déclaré en octobre dernier compter près de 200 millions d’utilisateurs professionnels de Microsoft 365. Vers la fin du mois de mars dernier, l’éditeur a annoncé comptabiliser 44 millions d’utilisateurs actifs de son service de visioconférence, Teams, qui fait partie de Microsoft 365.
Les attaques par phishing usurpant la marque Microsoft 365 se sont présentées sous forme de notifications de partage de fichiers OneDrive et SharePoint. Quelques-unes étaient extrêmement ciblées, démontrant que certains cybermalfaiteurs se sont curieusement concentrés sur un petit nombre d’individus. Dans un exemple cité par Vade Secure, la page de phishing usurpe la marque OneDrive et demande à l’utilisateur de se connecter sur Microsoft 365, Outlook ou un autre service pour consulter un fichier partagé.
L’email frauduleux est signé par le Département de la santé américain (who-publichealth-covid19…) et comporte l’objet « COVID 19 : New cases around your city » (COVID-19 : de nouveaux cas autour de votre ville). En cliquant sur l’URL de phishing, hébergée sur divers sites Web légitimes, mais hackés, d’Allemagne, du Bélarus ou de République tchèque, l’utilisateur était redirigé vers une page de connexion en ligne à Outlook.
Cette attaque a visé 48 clients de Vade Secure pour Microsoft 365, et seulement un utilisateur par client. Elle n’a duré que 5 heures. Une campagne dynamique de faible ampleur, mais pourquoi donc ? Est-ce pour rester sous la couverture radar, ou est-ce une attaque visant des individus ou des entreprises en particulier pour de l’espionnage industriel, économique ou autre. Seuls les hackers le savent.