Les attaquants se camouflent alors que les notifications SharePoint ciblent les employés d’Office 365
Récemment, une nouvelle campagne de phishing a été enregistrée qui utilise des messages d’appât camouflés sous forme de notifications SharePoint automatisées ciblant les employés utilisant des comptes Microsoft 365.
Selon la société de sécurité de messagerie Anormal Security, jusqu’à 50, 0000 boîtes aux lettres sont adressées à tous les employés des organisations ciblées. Les messages de phishing utilisent une approche fusil à pompe, essayant de tromper au moins un employé, puis d’utiliser ses informations d’identification pour compromettre les systèmes d’autres employés. Cela rend cette campagne de phishing potentiellement dangereuse.
Les attaquants ont fait de leur mieux pour que les messages de phishing soient aussi courts et vagues que possible. En outre, ils se sont fait un devoir d’inclure le nom de l’entreprise ciblée plusieurs fois dans l’e-mail. Leur stratégie est simple: susciter un sentiment de confiance et faire croire aux cibles que l’e-mail de phishing provient en fait de leur organisation.
Anormal explique: “Dans le corps de l’e-mail, le nom de l’entreprise du destinataire a également été utilisé à plusieurs reprises pour usurper l’identité d’un document interne partagé par ce service. Les destinataires peuvent être convaincus que l’e-mail est sûr et provient de leur entreprise en raison de l’inclusion répétitive de l’entreprise. Nom.”
Les messages de phishing tentent de cliquer sur les hyperliens fournis. Cela enverra les employés vers une page de destination sur le thème de SharePoint via une série de redirections. Ici, un bouton pour télécharger «Documents importants» est mentionné. Cela téléchargera un PDF qui les enverra vers un autre site Web ou les redirigera vers un formulaire de soumission où ils seront invités à entrer leurs informations d’identification.
Lorsque les cibles tombent sur le coup, leurs informations d’identification Microsoft sont envoyées aux attaquants qui leur permettent de prendre le contrôle total de leurs comptes Office 365. Ils peuvent utiliser ces données dans le cadre de vol d’identité et de stratagèmes de fraude tels que Business Email Compromise.
Anormal ajoute: «Cela expose les employés et leurs réseaux à des risques considérables, car les attaquants peuvent lancer des attaques internes pour voler davantage d’informations d’identification et d’informations à l’organisation.»
Agnieszka Girling, responsable du PM du groupe de partenaires Microsoft, a déclaré: «Alors que l’utilisation des applications s’est accélérée et a permis aux employés d’être productifs à distance, les attaquants cherchent à tirer parti des attaques basées sur les applications pour obtenir un accès injustifié à des données précieuses dans les services cloud.»