WordPress: La campagne de phishing de Microsoft 365 exploite Samsung, Adobe et Oxford University

WordPress: La campagne de phishing de Microsoft 365 exploite Samsung, Adobe et Oxford University

L’attaque redirige les utilisateurs via des sites Web légitimes dans le but de capturer leurs informations d’identification Microsoft, explique Check Point Research.

Hameçonnage

Image: weerapatkiatdumrong, Getty Images / iStockphoto

Microsoft est un
marque populaire pour les cybercriminels

d’usurper l’identité dans les campagnes de phishing. Les produits de l’entreprise sont utilisés par un grand nombre de personnes, à la fois personnellement et professionnellement. De plus, l’accès aux informations d’identification Microsoft de quelqu’un peut ouvrir la clé à un éventail de sites Web et de services associés. Une campagne particulière analysée par le fournisseur de renseignements sur les cybermenaces Check Point Research a redirigé les gens vers une série de sites Web légitimes dans le but de voler leurs informations d’identification Microsoft.

VOIR: Lutter contre les attaques de phishing sur les réseaux sociaux: 10 conseils (PDF gratuit) (TechRepublic)

Dans un article de blog publié jeudi, Check Point a décrit la méthode par laquelle les attaquants ont exploité l’un des serveurs de messagerie de l’Université d’Oxford pour envoyer l’e-mail initial, abusé d’un outil de redirection Adobe Campaign, puis utilisé un domaine Samsung pour amener les utilisateurs vers Microsoft Office 365- site Web de phishing à thème. L’objectif était de tirer parti de sites et de services légitimes pour échapper aux logiciels de sécurité. Repérées pour la première fois en avril, 43% des attaques visaient des entreprises européennes, tandis que les autres se trouvaient en Asie et au Moyen-Orient.

La plupart des courriels observés provenaient de plusieurs adresses appartenant à des sous-domaines légitimes de différents départements de l’Université d’Oxford. En utilisant les serveurs SMTP d’Oxford, les attaquants ont pu passer outre le contrôle de réputation du domaine de l’expéditeur. Ils pouvaient également générer autant d’adresses e-mail que nécessaire.

L’e-mail envoyé lui-même prétend offrir une messagerie vocale manquée liée au compte Office 365 du destinataire avec des références à Office 365 et Microsoft et même un faux avis « Message du serveur de confiance » en haut. L’e-mail invite le destinataire à cliquer sur un bouton pour écouter ou télécharger ses messages vocaux manqués. En cliquant sur ce bouton, les victimes sans méfiance sont dirigées vers une page de phishing qui leur demande de se connecter avec leur compte Microsoft.

office-365-phishing-email-check-point-research.jpg

Image: Recherche Check Point

Dans les coulisses, cependant, le trajet entre l’e-mail et la page de phishing passe par plusieurs étapes. Tout d’abord, les utilisateurs sont redirigés vers un serveur Adobe Campaign. Proposé par Adobe aux spécialistes du marketing par e-mail, Adobe Campaign a été exploité dans d’autres tentatives de phishing pour ajouter de la légitimité aux URL utilisées dans les messages malveillants.

Dans ce cas, le lien contenu dans l’e-mail dirige les utilisateurs vers un serveur Adobe utilisé par Samsung lors d’une campagne de marketing du Cyber ​​Monday 2018. En tirant parti du format de lien Adobe Campaign et d’un domaine Samsung légitime, les attaquants ont tenté d’éluder la protection de sécurité basée sur la réputation, les listes noires et les modèles d’URL.

Ensuite, les attaquants redirigent les utilisateurs vers l’un des nombreux sites compromis qui contiennent du code de redirection malveillant. L’ajout de cette couche est une autre façon d’échapper aux produits de sécurité car l’URL dans l’e-mail pointe vers un site apparemment légitime plutôt qu’une page de phishing douteuse.

Comme dernière étape, la page de phishing se trouve sur l’un des sites compromis. Créée à l’aide de JavaScript, cette page ressemble à une page de connexion Microsoft légitime qui demande le nom d’utilisateur et le mot de passe de la personne.

office-365-phishing-landing-page-check-point-research.jpg

Image: Recherche Check Point

Pour échapper aux alertes de sécurité ou aux blocages, les attaquants ont mis la main dans un sac astucieux de trucs. L’utilisation d’un serveur de messagerie Oxford pour envoyer l’e-mail initial les a aidés à contourner les filtres de réputation. Les liens contenus dans l’e-mail pointaient vers un domaine légitime appartenant à Samsung. Et une série de redirections a abouti à une page de phishing cachée.

office-365-phishing-redirects-check-point-research.jpg

Image: Recherche Check Point

« Ce qui a d’abord semblé être une campagne de phishing Office 365 classique s’est avéré être une stratégie de chef-d’œuvre: utiliser des marques bien connues et réputées pour échapper aux produits de sécurité sur le chemin des victimes », a déclaré Lotem Finkelsteen, responsable de Check Point pour les renseignements sur les menaces. TechRepublic.

« De nos jours, il s’agit d’une technique de pointe pour établir une présence au sein d’un réseau d’entreprise. L’accès au courrier d’entreprise peut permettre aux pirates un accès illimité aux opérations d’une entreprise, telles que les transactions, les rapports financiers, l’envoi d’e-mails au sein de l’entreprise à partir d’une source fiable, des mots de passe, et même les adresses des actifs cloud d’une entreprise. Pour réussir l’attaque, le pirate a dû accéder aux serveurs Samsung et Oxford, ce qui signifie qu’il a eu le temps de comprendre leur fonctionnement interne, lui permettant ainsi de passer inaperçu. « 

Pour vous protéger contre les attaques de phishing qui exploitent Microsoft 365 et d’autres services cloud, Check Point propose trois conseils:

  1. Utilisez des mots de passe différents pour votre application cloud. La ségrégation protège vos actifs lorsque l’un d’eux est exposé.
  2. Utilisez des solutions de sécurité cloud et de messagerie. Le fait que ces campagnes prospèrent prouve que les solutions de sécurité natives sont faciles à contourner. Utilisez des solutions de sécurité cloud et de messagerie pour supprimer les menaces pesant sur vos e-mails et protéger votre infrastructure cloud.
  3. N’entrez pas vos informations d’identification quand vous ne vous attendiez pas à le faire. Souvent, c’est une arnaque déguisée.

Roger Grimes, évangéliste de la défense piloté par les données pour KnowBe4, a également quelques conseils à partager.

« Les e-mails de phishing envoyés par un tiers de confiance compromis sont en augmentation depuis au moins deux ans », a déclaré Grimes. « Quand je parle aux DSI, ils disent que c’est le type d’e-mail de phishing qu’ils voient augmenter le plus et celui qui les inquiète le plus. « ou » N’ouvrez pas les pièces jointes de personnes que vous ne connaissez pas « ne fonctionne pas. De nos jours, les e-mails de phishing proviennent de personnes et de marques en qui vous avez confiance et avec lesquelles vous entretenez des relations. »

Pour lutter contre ces dernières menaces de phishing, Grimes suggère les étapes suivantes:

  1. Éduquer les utilisateurs sur ces types d’attaques provenant de tiers de confiance compromis.
  2. Mettre en œuvre le cadre de politique de l’expéditeur (SPF), Domain Keys Identified Mail (DKIM) et DMARC pour garantir que le domaine d’envoi dans l’e-mail est bien le domaine dont il provient.
  3. Éduquer les utilisateurs de se préoccuper davantage de la demande particulière que de la partie d’envoi dont elle provient. Si la demande est inattendue et demande une action jamais demandée auparavant, elle doit être considérée comme suspecte et faire l’objet d’une enquête plus approfondie avant d’exécuter l’action demandée.
  4. La plupart de ces types d’e-mails de phishing comportent des «événements stressants» en eux, dire à l’utilisateur qu’ils doivent faire quelque chose immédiatement, sinon quelque chose de irréversiblement mauvais se produira. Apprenez aux utilisateurs finaux à se méfier de tous les e-mails contenant des événements stressants. Si un e-mail arrive vous disant que vous devez agir rapidement, c’est le moment de vous arrêter et de réfléchir avant d’agir.
  5. Enfin, dites aux utilisateurs d’appeler l’expéditeur légitime quand quelque chose semble inhabituel. Faites-en une politique. Ils doivent appeler en utilisant des numéros de téléphone prédéfinis et ne pas s’appuyer sur des numéros de téléphone ou des informations de contact dans l’e-mail.

Regarde aussi

All the CMS Templates You Could Ask For.

WordPress: La campagne de phishing de Microsoft 365 exploite Samsung, Adobe et Oxford University

2M+ items from the worlds largest marketplace for CMS TemplatesEnvato Market.



WordPress: La campagne de phishing de Microsoft 365 exploite Samsung, Adobe et Oxford University

#campagne #phishing #Microsoft #exploite #Samsung #Adobe #Oxford #University