- La comparaison
- Tutoriels
- L'arnaque de phishing d'Office 365 utilise les domaines publicitaires Google pour contourner la sécurité
Des chercheurs du Cofense Phishing Defense Center (PDC) ont découvert une nouvelle campagne de phishing qui tente de voler les informations d'identification Office 365 des utilisateurs en les incitant à accepter de nouvelles conditions de service et une nouvelle politique de confidentialité. Cette campagne a été observée dans plusieurs organisations et utilise un certain nombre de techniques avancées, notamment une redirection depuis les services publicitaires de Google, pour tenter de voler les identifiants des employés. Les utilisateurs sélectionnés reçoivent d'abord un e-mail bien en vue avec pour objet « Modification récente de la politique ». L'e-mail provient également d'une adresse contenant le mot sécurité pour contribuer à créer un sentiment d'urgence. Le corps de l'e-mail demande aux utilisateurs d'accepter les « Conditions d'utilisation et politique de confidentialité » récemment mises à jour, sinon ils risquent de ne plus pouvoir utiliser le service. L'e-mail contient deux boutons (Accepter et Plus d'informations) et cliquer sur l'un ou l'autre bouton redirige les utilisateurs vers une copie de la page de connexion Microsoft d'origine.
Reciblage des services de publicité Google
Pour inciter les utilisateurs à cliquer sur leur e-mail de phishing, les attaquants ont utilisé une redirection Google Ad Services qui suggère qu'ils ont peut-être payé leur URL pour usurper l'identité d'une source autorisée. Il permet également aux e-mails de campagne de contourner facilement les passerelles de messagerie sécurisées utilisées par les organisations pour prévenir les attaques de phishing et autres escroqueries en ligne. Une fois qu'un utilisateur est redirigé vers la fausse page de connexion Microsoft, une fenêtre contextuelle de la politique de confidentialité mentionnée dans l'e-mail lui est présentée. Cette fenêtre contient également un logo Microsoft ainsi que le logo de l'entreprise de l'utilisateur pour le rendre plus légitime. La « politique de confidentialité mise à jour » mentionnée dans l'e-mail provient également directement du site Web de Microsoft. Après avoir accepté la politique mise à jour, l'utilisateur est redirigé vers une page de connexion Microsoft se faisant passer pour la page de connexion officielle d'Office 365. Si un employé saisit ses informations d'identification sur cette page et clique sur Cliquez sur « Suivant », alors les cybercriminels auront vos informations d'identification Microsoft et avez compromis votre compte. Pour faire croire aux utilisateurs que non seulement leurs informations d'identification ont été volées, une autre boîte apparaît indiquant « Nous avons mis à jour nos conditions » avec un bouton « Terminer » sous ce message. Cette campagne de phishing utilise de nombreuses astuces astucieuses pour tenter de voler les informations d'identification des utilisateurs. Les utilisateurs doivent donc être très prudents lorsqu'ils ouvrent des e-mails qui semblent provenir directement d'une source officielle et leur envoient une demande de connexion à l'un de leurs comptes.