Les cybercriminels automatisent le phishing via Office 365
Le NCSC met en garde contre une nouvelle variante de phishing via Office 365. Après avoir volé les données de connexion, les pirates placent un serveur proxy entre la victime et Microsoft afin de déjouer l'authentification à deux facteurs. Comme ils utilisent pour cela des certificats web valides, le stratagème est difficilement détectable.
Les attaques de phishing visant les comptes Office 365 se basent sur de nouveaux stratagèmes. Dans sa dernière revue hebdomadaire, le Centre national de cybersécurité (NCSC) met en garde contre un nouveau schéma particulièrement perfide de prise de contrôle de comptes de la suite en ligne de Microsoft.
Originellement, les tentatives de phishing visent à obtenir des noms d'utilisateur et des mots de passe. Lorsque l'authentification multifactorielle s'est répandue, les criminels ont dû se montrer plus créatifs, explique le NCSC. En effet, les données de connexion ne suffisaient plus à elles seules pour s’ouvrir l’accès à un compte. Le stratagème a alors consisté à installer un serveur proxy, entre les pirates et la victime. «Alors que celle-ci pense communiquer directement avec Microsoft, le proxy intercepte les données, les déchiffre, puis les transmet. La demande relative au deuxième facteur est ensuite communiquée à la victime, dont la réponse est de nouveau interceptée par le proxy. Les cybercriminels peuvent dès lors prendre le contrôle de la session», indique le NCSC.
Cette stratégie, connue sous le nom de «Man in the Middle», nécessite donc une intervention en direct de la part des attaquants. Autre problème : la page intermédiaire affiche certes la bonne URL à la victime, mais le mauvais proxy entraîne une erreur de certificat. Et l'arnaque est découverte.
Des certificats valides masquent la fraude
Or, le NCSC a été informé à plusieurs reprises de cas dans lesquels le signalement de l'erreur n’apparaît pas, car les pages affichent des certificats Microsoft valides. Le NCSC voit l'origine du subterfuge dans le site web «powerappsportals.com» . Celui-ci possède un certificat valide mis à disposition par Microsoft et permet aux développeurs de mettre à disposition leurs propres solutions d'automatisation. L'accès direct à la procédure de connexion à Office 365 via une API mise à disposition par Microsoft en fait partie. Dès lors, les pirates pourraient par exemple prendre le contrôle de la fenêtre de connexion réelle de manière entièrement automatisée et la remplacer par une connexion factice. Les criminels pourraient ainsi récupérer les données de connexion ainsi que le deuxième facteur d'authentification et prendre le contrôle du compte. Et ce, sans message d'erreur de certificat qui pourrait indiquer une fraude.
Le NCSC recommande de ne jamais saisir de mots de passe ou de données de carte de crédit via des liens figurant dans un e-mail. En outre, il convient d'examiner attentivement les sites web qui demandent des données de connexion.