Office 365 : Microsoft alerte sur une nouvelle campagne de phishing en cours

Sécurité : Une nouvelle campagne de phishing fait actuellement rage en utilisant les liens de redirection ouverts. Nul n’est à l’abri, prévient la direction de Microsoft.

Microsoft lance l’alerte. Le géant américain a averti les clients d’Office 365 qu’ils sont la cible d’une vaste campagne de phishing visant à dérober des noms d’utilisateur et des mots de passe. Cette campagne de phishing utilise plusieurs liens. En cliquant dessus, on obtient une série de redirections qui conduisent les victimes à une page Google reCAPTCHA qui mène à une fausse page de connexion où les identifiants d’Office 365 sont volés.

Cette attaque particulière s’appuie sur l’outil de vente et de marketing par e-mail appelé « redirections ouvertes », qui a été utilisé de manière abusive par le passé pour rediriger les visiteurs vers un site malveillant à partir d’une destination digne de confiance. Google ne considère pas les redirections ouvertes pour les URL Google comme une faille de sécurité, mais il affiche un « avis de redirection » dans le navigateur. Microsoft prévient désormais que cette fonctionnalité est utilisée par les attaquants qui utilisent le phishing.

« Les attaquants pourraient abuser des redirections ouvertes pour établir un lien vers une URL dans un domaine de confiance et intégrer l’éventuelle URL malveillante finale en tant que paramètre. Un tel abus pourrait empêcher les utilisateurs et les solutions de sécurité de reconnaître rapidement une éventuelle intention malveillante », prévient l’équipe de renseignement sur les menaces de Microsoft 365 Defender.

Une astuce sournoise pour déjouer l’attention

L’astuce de cette attaque repose sur le conseil donné aux utilisateurs de survoler un lien dans un e-mail pour vérifier la destination avant de cliquer. « Une fois que les destinataires passent leur curseur sur le lien ou le bouton dans l’e-mail, ils voient apparaître l’URL complète. Cependant, comme les acteurs ont mis en place des liens de redirection ouverts en utilisant un service légitime, les utilisateurs voient un nom de domaine légitime qui est probablement associé à une entreprise qu’ils connaissent et en laquelle ils ont confiance », expliquent les équipes du géant américain.

« Les utilisateurs entraînés à survoler les liens et à inspecter les artefacts malveillants dans les e-mails peuvent tout de même voir un domaine auquel ils font confiance et donc cliquer dessus », précisent encore les chercheurs de Microsoft. Ceux-ci ont déjà trouvé plus de 350 domaines de phishing uniques utilisés dans cette campagne, y compris des domaines de messagerie gratuits, des domaines compromis et des domaines créés automatiquement par l’algorithme de génération de domaines de l’attaquant.

Cerise sur le gâteau, l’objet des e-mails adressés par les attaquants usurpe des identités réelles, en prenant par exemple l’apparence d’une alerte de calendrier pour une réunion Zoom, une notification de spam d’Office 365 ou un avis concernant la politique d’expiration des mots de passe, largement utilisée mais peu judicieuse.

Une attaque très sophistiquée

Si les redirections ouvertes ne sont pas nouvelles, Microsoft s’est attaqué au problème après avoir remarqué une campagne de phishing en août qui s’appuyait sur des URL Microsoft usurpées. La vérification Google reCaptcha ajoute à la légitimité apparente du site, car elle est généralement utilisée par les sites web pour confirmer que l’utilisateur n’est pas un robot.

Cependant, dans ce cas, l’utilisateur est redirigé vers une page qui ressemble à une page de connexion Microsoft classique et qui mène finalement à une page légitime de Sophos, qui fournit un service permettant de détecter ce type d’attaque de phishing.

« Si l’utilisateur saisit son mot de passe, la page s’actualise et affiche un message d’erreur indiquant que la page a expiré ou que le mot de passe était incorrect et qu’il doit le saisir à nouveau. Il s’agit probablement d’inciter l’utilisateur à saisir son mot de passe deux fois, ce qui permet aux attaquants de s’assurer qu’ils obtiennent le bon mot de passe », indique Microsoft. « Une fois que l’utilisateur a saisi son mot de passe une deuxième fois, la page renvoie à un site web Sophos légitime qui affirme que le message électronique a été publié. Cela ajoute une autre couche de fausse légitimité à la campagne de phishing. »

Google reste inflexible

Quid de Google ? La position du géant américain sur la question des redirections ouvertes est qu’il ne s’agit pas d’une vulnérabilité de sécurité, même si la société admet qu’elle peut être utilisée pour déclencher d’autres vulnérabilités. Cependant, Google conteste l’idée que le fait de survoler un lien dans une application pour voir l’URL de destination est une astuce utile de sensibilisation au phishing.

« Les redirecteurs ouverts vous font passer d’une URL Google à un autre site web choisi par celui qui a construit le lien. Certains membres de la communauté de la sécurité affirment que les redirecteurs facilitent le phishing, car les utilisateurs peuvent être enclins à faire confiance à l’infobulle du survol de la souris sur un lien et ne pas examiner la barre d’adresse une fois la navigation effectuée », explique-t-on du côté de Google.

« Nous investissons donc dans des technologies permettant de détecter et d’alerter les utilisateurs en cas d’hameçonnage et d’abus, mais nous considérons généralement qu’un petit nombre de redirecteurs correctement contrôlés présente des avantages assez évidents et ne pose que très peu de risques pratiques. »

Source : ZDNet.com

Catégories