Hacker en deux clics. Une plateforme pour créer une campagne de phishing à la demande a été repérée et analysée dans un rapport publié ce 10 mai 2023 par l’entreprise de cybersécurité Cisco Talos. Ce service illégal baptisé « Greatness » – la grandeur en anglais – propose de concevoir un mail avec une pièce jointe ainsi qu’une fausse page de connexion du groupe que le malfaiteur veut cibler.
Le « client » n’a qu’à préremplir le document d’information contenant toutes les adresses cibles et il accède ensuite à un panneau d’administration, pour lancer sa campagne. Toute l’opération sera hébergée sur un serveur loué par l’entreprise criminelle.
Une fois que la cible reçoit le mail et clique sur la pièce jointe, un code Java Script est exécuté pour lancer un faux panneau de connexion Microsoft 365, avec le logo de l’entreprise concernée. La victime saisit uniquement son mot de passe, l’adresse mail sera déjà préremplie pour renforcer la légitimité de l’opération.
« Le client » prévenu dans la foulée
Les créateurs de la plateforme ont perfectionné leur « produit », puisque si le compte attaqué est protégé par la double authentification, Greatness invitera la victime à déclencher une demande réelle, et récupéra le code unique. Une fois tous les identifiants en main, le prestataire s’authentifiera et enverra le cookie de session au client, depuis la plateforme dédie ou sur un canal Telegram.
« Les sessions authentifiées expirent généralement après un certain temps, ce qui est peut-être l’une des raisons pour lesquelles un bot Telegram est utilisé – il informe l’attaquant dès que possible pour s’assurer qu’il peut atteindre rapidement sa cible », explique le rapport.
Des victimes en France
Greatness se concentre uniquement pour l’instant sur les pages d’hameçonnage de Microsoft 365, le service de messagerie professionnel, et se consacre donc surtout à piéger des employés d’entreprises. Parmi les secteurs les plus ciblés, on trouve des manufactures, des entreprises de la tech et de la santé situées aux États-Unis, au Royaume-Uni, en Australie, en Afrique du Sud et même en France, avec un pic d’activité détecté en décembre 2022 et mars 2023.
Les principaux intéressés pourraient être des receleurs d’identifiants et d’informations, voire des groupes de ransomware qui s’adresseraient directement à ce type de service pour installer plus rapidement leur redoutable logiciel dans le système de la victime. Ces nouveaux outils sont également la preuve que la cybercriminalité se démocratise. Les malfaiteurs se transforment en startupers, ils reprennent les standards du marché réel avec des services simple d’accès et disponible sur abonnement. Greatness étant toujours en ligne, la prudence est de mise lorsque que vous vous retrouvez face à ces pages de connexion.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.