MFA, Microsoft alerte contre une campagne de phishing Office 365.

AccueilActualitésMFA, Microsoft alerte contre une campagne de phishing Office 365.

MFA, Microsoft alerte contre une campagne de phishing Office 365.

Sommaire

 MFA, Microsoft alerte contre une campagne de phishing Office 365. Dans un article publié le 12 juillet dernier sur son site officiel, Microsoft met en garde les utilisateurs de ses produits, en particulier de l’Office 365, contre une campagne massive de phishing AiTM Office 365 qui peut contourner la MFA (authentification multifacteur).

Selon Microsoft, la campagne serait en cours. Elle cible les informations d’identification Office 365 et aurait déjà permis aux attaquants d’escroquer plus de 10 000 organisations au cours des 10 derniers mois.
Les chercheurs de Microsoft ont déclaré que l’objectif de la campagne est la compromission d’e-mails professionnels, ou Business Email Compromise (BEC) en anglais. Il s’agit un type d’attaque d’usurpation d’identité où le compte e-mail compromis d’un employé est détourné et utilisé par les attaquants pour tromper d’autres employés des mêmes organisations ou encore les partenaires externes à l’organisation. Généralement, les mails frauduleux envoyés ont pour message la demande d’un transfert d’argent urgent, ce qui ne laisse pas aux victimes le temps d’analyser la situation.

MFA, Microsoft alerte contre une campagne de phishing Office 365. Découvrez dans le présent article le fonctionnement de cette campagne massive de phishing qui cible les utilisateurs de Office 365 et aussi comment éventuellement s’en protéger.

Une attaque de phishing AiTM qui cible des informations d’identification Office 365


Microsoft rapporte que les attaques observées utilisent des e-mails avec des pièces jointes HTML. L’e-mail frauduleux informe l’utilisateur de la présence d’un message vocal venant de Microsoft placé en pièce jointe. Pour lancer le téléchargement du message vocal en question, l’utilisateur est invité à cliquer sur la pièce jointe. Mais en réalité, le fichier HTML est là pour faire en sorte que l’utilisateur ciblé atterrit à l’URL d’un site simulant la progression d’un téléchargement (celui du présumé fichier audio) à partir d’une redirection.

Une fois le faux téléchargement terminé, l’utilisateur est ensuite redirigé à nouveau vers une page de connexion Office 365 malveillante. Or, cette dernière s’avère être un site web qui héberge un kit de phishing open source, utilisé pour collecter des informations d’identification, pirater les sessions de connexion et ignorer les processus d’authentification, y compris la MFA.

Après avoir soigneusement saisie automatiquement l’adresse mail de l’utilisateur, l’interface du site indique à celui-ci de se connecter à son compte Microsoft pour recevoir le message vocal. S’il l’utilisateur se connecte, les hackeurs s’approprient de ses informations de connexion Microsoft et au même moment le programme malveillant s’approprie et infecte son compte Microsoft.

Microsoft a également déclaré qu’une fois le compte Microsoft de l’utilisateur est compromis, les attaquants utilisent ensuite les cookies de session du compte pour s’authentifier auprès d’Outlook en ligne.

Et c’est comme cela que les attaquants arrivent à s’approprier du compte e-mail professionnel de leurs victimes et aussi d’accéder à tous leurs contacts pour faire de la compromission d’e-mails professionnels.

Comment les hackeurs contournent-ils la MFA ?


Ce type de cyberattaque s’appelle de l’hameçonnage AiTM. C’est un type d’attaque où les hackeurs conçoivent un faux site web avec des certificats valides, un URL propre et où ils déploient aussi un serveur proxy entre l’utilisateur cible et le site Web que l’utilisateur souhaite visiter.

Cette configuration est particulièrement efficace pour voler et intercepter le mot de passe et les cookies de session de la victime potentielle. Une fois les cookies de session acquis par le serveur proxy déployé, les hackeurs peuvent l’injecter dans le navigateur Web pour contourner l’authentification, que le MFA ait été activé ou non.

Rappel de ce qu’est l’authentification multi facteurs (MFA) ?


MFA est un système d’authentification qui ajoute une couche de sécurité supplémentaire pour protéger davantage vos données et vos comptes. Il vérifie votre identité par une méthode supplémentaire de votre choix, en utilisant une combinaison de deux facteurs différents :

  • Quelque chose que vous connaissez (votre nom d’utilisateur et votre mot de passe de connexion à l’ordinateur) ;

  • Quelque chose que vous avez (un mot de passe à usage unique configuré pour être reçu sur votre téléphone mobile).


L’outil d’authentification multi-facteur de Microsoft s’appelle “Microsoft Authenticator”. C’est une application performant qui fournit une deuxième couche de sécurité après le mot de passe. Lors de la connexion, vous saisirez votre mot de passe, puis il vous sera demandé un moyen supplémentaire de prouver qu’il s’agit bien de vous.

Puisque la MFA permet d’améliorer la sécurité, il est très fortement recommandé aux utilisateurs de l’activer. Toutefois, cette campagne de cyberattaque rapportée par Microsoft prouve aussi même si l’authentification multifacteur est a priori sans faille, en réalité les attaquants trouvent toujours des moyens pour la contourner. Il est donc important d’être tout le temps sur ses gardes.

La motivation de la campagne de phishing à grande échelle


Comme évoqué plus haut, avec cette campagne, la compromission d’e-mails professionnels(BEC) est le véritable but des attaquants. Le vol des identifiants Office 365 n’est en fait qu’un moyen pour y parvenir.

Une fois que l’attaquant a accès au courrier électronique Office 365 de l’utilisateur, les messages du compte sont lus pour identifier les cibles potentielles de la prochaine phase de l’attaque parmi les contacts des victimes. L’attaquant détourne aussi la boîte aux lettres et marque certains messages comme lus et les déplacent vers le dossier d’archivage pour empêcher l’utilisateur de détecter que sa boîte aux lettres a été compromise. Une escroquerie de type compromission des e-mails professionnels (BEC) est ensuite menée sur les cibles.

L’attaquant utilise un programme pour insérer du contenu dans les e-mails envoyés pour tenter d’amener la personne ciblée à effectuer un virement électronique frauduleux vers un compte sous le contrôle de l’attaquant.

Et vu que les e-mails ne sont jamais de nouvelles discussions, mais plutôt des réponses à des communications précédentes, les destinataires sont persuadés qu’ils discutent aux vrais propriétaires des comptes et donc se font facilement avoir. Selon Microsoft, au cours des 10 derniers mois, plus de 10 000 organisations ont déjà été arnaquées.

BEC fait manuellement pour mieux tromper les destinataires


Microsoft a déclaré qu’il ne fallait que cinq minutes à partir du vol d’informations d’identification et de cookies de session pour que le premier e-mail BEC soit envoyé.

Alors que la compromission du compte est automatisée, les attaques BEC semblent être menées manuellement, tout en étant exécutée à une vitesse impressionnante. Le choix d’envoyer les e-mails manuellement peut s’expliquer par le fait que les attaquants souhaitent envoyer du contenu totalement naturel et donc plus pertinent et convaincant.

Tous les e-mails envoyés ou reçus sont supprimés manuellement du dossier d’archivage et du dossier envoyé pour éviter la détection. C’est pour cette raison aussi qu’il est difficile pour les victimes de savoir que leur compte a déjà été détourné.

Se défendre contre la campagne de phishing AiTM, visés les comptes Office 365 ?


Pour se protéger de cette campagne de cyber attaque et des phishing AiTM en général, les experts recommandent aux entreprises d’utiliser des méthodes MFA conformes aux normes FIDO Alliance, des normes basées sur la cryptographie à clé publique. Ils notent aussi que certaines formes de MFA (telles que les mots de passe à usage unique (OTP)) ne peuvent pas protéger les clients contre les attaques de phishing et les prises de contrôle de compte.

Microsoft, de son côté, invite ses clients à configurer l’accès conditionnel dans Azure Active Directory (AD) pour atténuer les attaques AiTM et empêcher les tentatives de phishing. Seulement, cela risque de ne pas suffire. C’est pourquoi la société a également encouragé ses clients d’investir dans des solutions anti-phishing avancées qui peuvent notamment surveiller en permanence les activités suspectes.

Selon les experts en cybersécurité, des solutions avancées de sécurité des e-mails qui analysent les e-mails entrants et sortants sont les plus à même de protéger une organisation des campagnes de phishing AiTM.

L’authentification multi-facteurs reste incontournable


Dans son communiqué, Microsoft souligne que si les attaques AiTM peuvent contourner la MFA, l’authentification multifacteur reste néanmoins une mesure de sécurité importante et efficace pour bloquer de nombreuses menaces.

C’est pourquoi, Microsoft invite ses clients à garder leur système MFA, mais également à rendre les implémentations MFA plus « résistantes au phishing » en utilisant notamment des solutions prenant en charge Fast ID Online (FIDO) v2.0 et l’authentification basée sur des certificats.

Ainsi, il leur est demandé de continuellement mettre à jour leurs protocoles et protections de sécurité numérique, se méfier des tentatives louches de connexion et éventuellement envisager d’obliger les connexions par e-mail à partir d’adresses IP de confiance ou d’appareils informatiques correctement enregistrés.

Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies
Michel Labise
Depuis plusieurs années, la roue a facilité le voyage et le transport. Les Nouvelles technologies de l'information ont aussi amélioré la diffusion des informations "News" pour mieux nous alerter et ou nous instruire. Les évolutions technologiques dans les domaines du l'information, la santé ne seraient rien sans l'apport de la technologie.
- Advertisement -spot_img
Actualités
- Advertisement -spot_img
error: Content is protected !!