Une nouvelle campagne de phishing cible les clients Office 365 en usurpant l'identité de leur organisation dans des messages leur indiquant qu'ils doivent mettre à jour leur configuration VPN tout en travaillant à distance.
Les e-mails de phishing utilisés dans la campagne sont conçus pour sembler provenir du service de support informatique d'une organisation dans le but d'inciter les employés à les ouvrir. Selon la société de sécurité de messagerie Abnormal Security, jusqu'à présent, 15 000 cibles ont reçu ces courriels de phishing convaincants.
L'utilisation du VPN a grimpé en flèche avec plus d'employés travailler à domicile comme jamais auparavant à la suite de la pandémie, c'est pourquoi cette campagne et d'autres campagnes de phishing récentes ont été si efficaces. Les employés comptent sur les VPN pour se connecter aux serveurs de leur entreprise et accéder aux données sensibles tout en travaillant à distance.
Sommaire
Informations d'identification Office 365
Les attaquants à l'origine de cette campagne ont fait de grands efforts pour rendre non seulement leurs e-mails de phishing mais aussi leurs pages de destination de phishing plus convaincantes.
Pour commencer, les attaquants usurpent l'adresse e-mail de l'expéditeur dans leurs e-mails de phishing pour correspondre au domaine des organisations cibles. Les configurations VPN envoyées dans ces e-mails amènent les utilisateurs vers une page de destination de phishing qui usurpe l'identité de la page de connexion Office 365 de Microsoft. Cette fausse page de connexion est également hébergée sur un domaine appartenant à Microsoft.
En abusant de la plate-forme Azure Blob Storage, les attaquants ont fait en sorte que leur page de destination dispose d'un certificat Microsoft valide qui affiche le cadenas sécurisé car ils utilisent un certificat SSL générique web.core.windows.net. La plupart des utilisateurs verraient que le certificat a été émis par Microsoft et n'hésiteraient même pas à entrer leurs informations d'identification Office 365.
Dans un article de blog, Abnormal Security a averti que cette campagne était répandue et que de nombreuses versions de cette attaque avaient été repérées dans la nature, en disant:
«De nombreuses versions de cette attaque ont été vues sur différents clients, à partir de différents e-mails d'expéditeurs et provenant de différentes adresses IP. Cependant, le même lien de charge utile a été utilisé par toutes ces attaques, ce qui implique qu'elles ont été envoyées par un seul attaquant qui contrôle le site Web de phishing. »
Pour éviter d'être victime de cette campagne, les utilisateurs ne doivent saisir leurs informations d'identification Office 365 que sur les pages de connexion officielles hébergées par Microsoft sur ses domaines microsoft.com, live.com ou outlook.com.
- Consultez également notre liste complète des meilleurs services VPN
Via BleepingComputer
