in

De faux messages VPN utilisés pour attirer les victimes de phishing d’Office 365

 

Une nouvelle campagne de phishing cible les clients Office 365 en usurpant l’identité de leur organisation dans des messages leur indiquant qu’ils doivent mettre à jour leur configuration VPN tout en travaillant à distance.

Les e-mails de phishing utilisés dans la campagne sont conçus pour sembler provenir du service de support informatique d’une organisation dans le but d’inciter les employés à les ouvrir. Selon la société de sécurité de messagerie Abnormal Security, jusqu’à présent, 15 000 cibles ont reçu ces courriels de phishing convaincants.

L’utilisation du VPN a explosé avec plus d’employés travaillant à domicile que jamais à la suite de la pandémie, c’est pourquoi cette campagne de phishing et d’autres récentes ont été si efficaces. Les employés comptent sur les VPN pour se connecter aux serveurs de leur entreprise et accéder aux données sensibles tout en travaillant à distance.

Informations d’identification Office 365

Les attaquants à l’origine de cette campagne ont fait de grands efforts pour rendre non seulement leurs e-mails de phishing mais aussi leurs pages de destination de phishing plus convaincantes.

Pour commencer, les attaquants usurpent l’adresse e-mail de l’expéditeur dans leurs e-mails de phishing pour correspondre au domaine des organisations cibles. Les configurations VPN envoyées dans ces e-mails amènent les utilisateurs vers une page de destination de phishing qui usurpe l’identité de la page de connexion Office 365 de Microsoft. Cette fausse page de connexion est également hébergée sur un domaine appartenant à Microsoft.

En abusant de la plate-forme Azure Blob Storage, les attaquants ont fait en sorte que leur page de destination dispose d’un certificat Microsoft valide qui affiche le cadenas sécurisé car ils utilisent un certificat SSL générique web.core.windows.net. La plupart des utilisateurs verraient que le certificat a été émis par Microsoft et n’hésiteraient même pas à entrer leurs informations d’identification Office 365.

Dans un article de blog, Abnormal Security a averti que cette campagne est très répandue et que de nombreuses versions de cette attaque ont été repérées dans la nature, déclarant:

«De nombreuses versions de cette attaque ont été vues sur différents clients, à partir de différents e-mails d’expéditeurs et provenant de différentes adresses IP. Cependant, le même lien de charge utile a été utilisé par toutes ces attaques, ce qui implique qu’elles ont été envoyées par un seul attaquant qui contrôle le site Web de phishing. »

Pour éviter d’être victime de cette campagne, les utilisateurs ne doivent saisir leurs informations d’identification Office 365 que sur les pages de connexion officielles hébergées par Microsoft sur ses domaines microsoft.com, live.com ou outlook.com.

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Meilleures applications Android gratuites en 2020

Dell: Ce serait une «tragédie» de revenir aux normes de travail d’avant la pandémie