Selon le classement « Phishers’ Favorites » de Vade Secure, Office 365 est devenu une cible privilégiée. Avec plus de 200 millions d’utilisateurs actifs dans le monde, la solution de Microsoft représente une porte d’entrée idéale pour voler des données sensibles, préparer une attaque ciblée…

C’est la rançon du succès. Étant donné la popularité grandissante d’Office 365 (et encore plus demain avec l’intérêt pour Teams avec le confinement lié au covid-19), Microsoft a été la marque dont l’identité a été la plus usurpée, avec plus de 64 000 URL de phishing uniques détectées en 2019.

Il n’est donc pas étonnant qu’Office 365 attire autant les escrocs en tous genre et autres cyberattaquants. « Les attaques de phishing qui exploitent Office 365 se présentent sous différentes formes », selon Adrien Gendre, architecte en chef des solutions chez Vade Secure.

Il s'agit notamment de fausses notifications de quarantaine, de pièces jointes de messagerie vocale, d'avis de compte suspendu et de notifications de défaut de paiement.

Vade Secure a également repéré des emails de phishing exploitant des services très populaires de Microsoft auprès des professionnels, comme OneDrive et SharePoint.

Dans certaines de ces campagnes, les hameçonneurs envoient de fausses notifications OneDrive ou SharePoint qui mènent directement à une page de phishing.

Imitation des pages de connexion

Si de nombreux emails sont frauduleux, certains sont en effet envoyés à partir de comptes Office 365 légitimes, ce qui rend la détection presque impossible. Le lien de phishing ne se trouve pas dans l’email, mais dans le fichier partagé.

Vade Secure a aussi constaté l’existence de pages web de phishing s’inspirant des feuilles de style des pages de connexion d'Office 365 et les éléments constitutifs de la page. Dans certains cas, des pirates extraient le JavaScript et le CSS directement du site web légitime puis ils insèrent leur propre script pour récupérer des informations d'identification.

L’utilisation d'images ou de logos plus ou moins proches de la version officielle est également utilisée pour tromper la vigilance des utilisateurs. Pour contourner un filtre, les pirates déforment légèrement l'image et modifient le hachage cryptographique, manipulant ainsi le filtre de courrier électronique.

Selon Vade Secure, « dans l'ensemble, la sophistication de ces attaques s'accroît, de nombreuses pages de phishing d'Office 365 étant pratiquement impossibles à distinguer ».

Le principal objectif de ces attaques est le vol d’identifiants Office 365. En cas de succès, les attaquants peuvent vendre la liste d'adresses globale de l'organisation ou d'autres informations de l'entreprise sur le dark web, déployer des logiciels de rançon au sein d'une organisation et mener des attaques de compromission de courrier électronique professionnel en utilisant le compte compromis.

Parfois, les cybercriminels utilisent les informations d'identification volées pour surveiller discrètement le trafic d’emails et se déplacer latéralement au sein de l'organisation pour planifier une attaque plus importante, voire ciblée.

Pour se protéger face à la multiplication de ce type d’attaques, les entreprises doivent s’appuyer sur différentes solutions et méthodes :

  • Utiliser l'intelligence artificielle
Plus particulièrement l'apprentissage machine (ou Machine Learning) afin d’anticiper de nouvelles attaques de phishing. Les filtres traditionnels basés sur la réputation et les empreintes digitales ne sont capables d'identifier les menaces connues qu'à partir d'IP ou d'URL sur liste noire.

Les technologies basées sur l'IA peuvent identifier les menaces sans signature connue, notamment les attaques de phishing hautement dynamiques qui utilisent un email et une URL uniques pour chaque destinataire. Cela permet d'éviter qu'un maximum de courriels de phishing n'atteigne vos utilisateurs.

  • Se préparer à l'inattendu

Aucune solution ne peut prétendre (et ne pourra) bloquer 100 % des menaces. Il est donc indispensable de renforcer la vigilance des utilisateurs par des formations spécifiques sur Office 365.

  • Être réactif dans les signalements de phishing
Il est indispensable de mettre en place un mécanisme en boucle fermée qui saisit les commentaires des collaborateurs afin d'améliorer et de renforcer continuellement le moteur d'intelligence artificielle de base.

Ce retour d'information doit également déclencher une correction automatique de sorte qu'une menace signalée par un salarié puisse être automatiquement supprimée de la boîte de réception des utilisateurs d'autres entreprises qui reçoivent la même menace.

Source : Vade Secure