Zoom n’est pas le seul logiciel de visioconférence à servir d’appât : Microsoft Teams est également visé par une campagne d’hameçonnage spécifique, repérée par l’entreprise Abnormal Security.
Pour piéger leurs victimes, les hackers envoient une copie très ressemblante d’une notification automatique de Microsoft Team. À partir de ce message, les personnes visées pensent se connecter à leur compte pour rejoindre une réunion, mais ils entrent en réalité leurs identifiants sur une page frauduleuse tenue par les pirates. Les malfaiteurs gagnent ainsi un accès à leur compte Microsoft 365, anciennement Office 365, et mettent un pied dans l’entreprise. Une fois en possession de ces informations — et sans réaction rapide de la part de la victime –, ils peuvent faire du cyberespionnage grâce à l’accès à la messagerie et aux documents hébergés dans le cloud, puis vendre les informations ou s’en servir pour des manœuvres de chantage.
Ils peuvent aussi utiliser leur contrôle sur la messagerie Outlook pour augmenter les chances de réussite d’un phishing contre des collègues de la victime, qui aurait par exemple pour objectif de répandre un rançongiciel. Si les pirates ne disposent pas de ce genre de malware sophistiqué, ils peuvent aussi usurper l’identité de leur victime — si elle a des responsabilités dans l’entreprise — pour demander des virements frauduleux : on parle alors « d’arnaque au patron ».
Vous l’aurez compris : les comptes Microsoft 365 sont des cyberarmes de valeur pour les pirates. Et en plus, le nombre de victimes potentielles a explosé sur ces derniers mois, à la faveur de l’augmentation du télétravail liée au confinement. Microsoft revendique désormais plus de 75 millions d’utilisateurs quotidiens, soit 70% de plus que l’année dernière. Cette campagne de phishing est anglophone, mais pourrait aisément être transposée en France.
Le phishing trompe le filtre antispam
Cette campagne de phishing se distingue sur deux points. D’abord, elle profite de sa ressemblance avec les messages officiels du logiciel grâce à des images identiques et aucune faute de grammaire. « Ce constat est d’autant plus vrai dans la version mobile où les images prennent la majorité de l’écran », précisent les chercheurs d’Abnormal Security.
Ensuite, elle parvient à passer outre le filtre antispam d’Outlook grâce à un système de redirection destiné à dissimuler l’adresse de la page frauduleuse sur laquelle sera envoyée la victime. Les chercheurs prennent l’exemple d’une URL hébergée sur YouTube, puis redirigée deux fois, avant d’enfin aboutir sur la page frauduleuse. Ces multiples redirections peuvent donner la puce à l’oreille de la victime, mais au moins, elles permettent d’aller jusqu’à elle.
Un peu oublié dans la tempête autour des multiples problèmes de sécurité de Zoom, Microsoft Teams doit aussi régler ces problèmes. La semaine dernière, l’entreprise américaine a dû réparer une vulnérabilité qui permettait de pirater les comptes grâce à un simple GIF.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.