Campagnes de phishing Office 365 pour voler les informations d’identification des travailleurs distants

Selon le rapport, les chercheurs en cybersécurité ont découvert des campagnes d’escroquerie par hameçonnage Microsoft Office 365 et expliqué que les attaquants derrière cette attaque ciblent les clients Office 365 par le mécanisme des campagnes d’hameçonnage en utilisant des messages d’appât camouflés sous forme de notifications demandant aux clients de mettre à jour la configuration VPN qu’ils utilisent pour accéder aux actifs de l’entreprise tout en travaillant à domicile.

Les chercheurs ont expliqué que les cybercriminels envoyaient des e-mails de phishing sur les boîtes aux lettres du destinataire ciblé usurpant l’identité des demandes de mise à jour de la configuration VPN envoyées par le support informatique de leur entreprise. Un rapport indique que ce phishing a ciblé jusqu’à 15 000 personnes selon un chercheur de la société de sécurité des e-mails «Abnormal Security»

Les cybercriminels utilisent ces escroqueries par hameçonnage en raison de l’afflux massif d’employés travaillant à distance et utilisant des VPN pour se connecter aux ressources de l’entreprise depuis leur domicile pour partager des fichiers ou des documents avec leurs amis ou collègues et accéder au serveur de leur organisation. En fait, l’adresse e-mail de l’expéditeur doit appartenir à l’adresse e-mail de l’organisation ou aux collègues des employés de l’entreprise. Mais les attaquants usurpent l’adresse e-mail de l’expéditeur dans des e-mails de phishing pour correspondre aux domaines de leurs organisations ciblées.

De plus, les attaquants derrière les campagnes de phishing d’Office 365 livrent des e-mails malveillants contenant certains messages ainsi que des hyperliens qui redirigent les destinataires vers des sites de destination de phishing, qui sont conçus pour permettre aux pirates de voler leurs informations d’identification Office 365. Jetons un œil aux déclarations de sécurité anormale à ce sujet.

«De nombreuses versions de cette attaque ont été vues sur différents clients, à partir de différents e-mails d’expéditeurs et provenant de différentes adresses IP. Cependant, le même lien de charge utile a été utilisé par toutes ces attaques, ce qui implique qu’elles ont été envoyées par un seul attaquant qui contrôle le site Web de phishing. »

Les attaques de phishing Office 365 pourraient avoir un taux de réussite élevé pour piéger les victimes potentielles tandis que de nombreux destinataires pourraient cliquer sur ces hyperliens et se connecter à leurs comptes Office 365 pour éviter de perdre l’accès à distance aux serveurs des organisations. Afin de cliquer sur ces hyperliens suspects, les employés seront redirigés sur la page de connexion d’Office 365 clone hébergée sur le domaine appartenant à Microsoft «Web.core.windows.net» avec le nom d’Azure Blob Storage. Cette plate-forme cible les utilisateurs d’Office 365 et prétend que c’est une ruse parfaite car les pages de destination obtiendront automatiquement leur propre cadenas de page source en raison du «certificat SSL générique .web.core.windows.net». Et les pirates derrière cette tentative d’escroquerie trompent les cibles les plus suspectes en cliquant sur le certificat et en voyant qu’il est organisé par Microsoft CA pour «.web.core.windows.net» automatiquement. Cependant, les URL de ce site ne doivent pas être fiables et les utilisateurs doivent uniquement se connecter à partir des pages Web affiliées à leur entreprise principale.

Les experts d’Anormal Security Company ont déclaré que les sous-domaines «Azure Blob Storage» sont utilisés par les attaquants pour phishing la page qui est une tactique très efficace qui peut facilement être abordée si vous configurez des règles de blocage Office 365 personnalisées pour tirer parti des fonctionnalités de liens sécurisés ATP d’Office 365 pour les bloquer automatiquement. Si ce bloc n’est pas configuré, les attaquants n’essaient pas de voler vos informations d’identification en les saisissant dans le formulaire de connexion Office 365 que la page de connexion officielle est hébergée par Microsoft sur les domaines Microsoft.com, live.com ou outlook.com.

Des chercheurs en sécurité anormale ont découvert le mois dernier une nouvelle attaque de phishing comme campagnes de hameçonnage Office 365 très convaincantes qui tentaient de voler les informations d’identification de près de 50000 utilisateurs à l’aide d’images clonées à partir de notifications Microsoft automatisées. Si vous avez des suggestions ou des questions à ce sujet, veuillez écrire dans la boîte de commentaires ci-dessous.