Pourquoi cet intérêt pour Office 365 ?
Microsoft a été la marque la plus usurpée lors des attaques de phishing en 2019, majoritairement « grâce » à Office 365. En effet, cette plateforme multi-système, désormais baptisée Microsoft 365, regroupe des applications de messagerie, de stockage de fichiers, de bureautique et de collaboration, notamment OneDrive et SharePoint. Ensemble, ces applications constituent une cible de choix pour les hackers à la recherche de données et fichiers sensibles.
Une enquête publiée en 2017 par Ponemon a révélé que 52 % des données sensibles ou confidentielles des entreprises interrogées sont stockées sur SharePoint. Qu’il s’agisse de secrets commerciaux ou d’informations financières, SharePoint abrite donc des données stratégiques pour les entreprises, dont la diffusion pourrait causer des dégâts irréparables.
Avec l’accès à un seul compte Office 365 légitime, un hacker peut passer à la phase 2 de son attaque, le spear phishing, pour atteindre son objectif ultime : l’argent. Libre d’accéder aux différents éléments de la plateforme Office 365, le hacker peut se faire passer pour des employés et demander la réalisation de virement, l’achat de cartes cadeaux, le paiement d’une rançon, etc. Il pourra par ailleurs récupérer d’autres informations d’identification Office 365 pour infiltrer de nouvelles entreprises.
Pourquoi les utilisateurs tombent-ils dans le panneau ?
Les attaquants imitent les protocoles et l’apparence des messages et interfaces d’Office 365 pour pousser les utilisateurs à leur dévoiler leurs informations d’identification. Dans certains cas, ils s’appuient sur le stockage Microsoft Azure Binary Large OBject (BLOB) pour créer des pages d’accueil signées avec des certificats SSL de Microsoft et disposant d’un nom de domaine windows.net. Ces pages étant basées sur la même plateforme que celle utilisée par leurs destinataires, le leurre est presque parfait.
Une fois qu’ils disposent d’informations d’identification Office 365 légitimes, les hackers peuvent lancer des attaques en plusieurs phases depuis Office 365. Les emails de spear phishing envoyés en interne leur permettent de se faire passer pour d’autres utilisateurs et de pousser les employés à approuver des virements bancaires, à communiquer des informations sur d’autres employés, à acheter des cartes cadeaux et bien plus encore.
Types d’attaques
Toujours plus doués, inventifs et déterminés, les hackers exploitent différentes techniques pour mener à bien leurs attaques de phishing. Globalement, ces attaques sont plus ciblées que par le passé : les hackers limitent le nombre d’emails envoyés et il est rare qu’une attaque dépasse désormais la centaine ou le millier de destinataires. Elles sont aussi ultra dynamiques : nombre d’entre elles exploitent une combinaison destinataire/adresse IP, URL, image et ligne d’objet unique pour chaque message. Voici quelques techniques détectées par Vade sur des comptes Office 365.
Attaque par message vocal
Outlook pour Office 365 vous informe que vous avez reçu un email. L’objet de l’email est le suivant : « Appel entrant : Vous avez reçu un message vocal du +1 508 *** - 250 secondes. » Le piège est personnalisé : votre prénom apparaît dans le corps du message. En plus d’un numéro de téléphone qui semble légitime, l’email contient un lien de phishing sur lequel vous pouvez cliquer pour écouter le message.
Dans l’une de ces attaques, le nom de l’expéditeur est « voice-mail service » et l’adresse de son domaine contient « microsoft.com ». La similitude avec un message système de Microsoft est troublante, vous ne trouvez pas ? Et pourtant, ce n’en est pas un.
Le lien pourrait vous rediriger vers un écran de connexion Microsoft qui paraît parfaitement authentique, mais qui ne l’est absolument pas. C’est un site de phishing conçu pour dérober vos informations d’identification Office 365.
Dans une autre version de cette attaque, le message provient d’une adresse du type « no_reply@myverizon-voices.net » et peut inclure un lien vers un PDF hébergé sur des sites SharePoint compromis. Ce PDF vous redirige ensuite vers un autre site de phishing. Dans l’exemple ci-dessous, le lien de phishing dans le message manqué contient un malware.
Attaque du type « Une action est requise »
L’objet du message invite l’utilisateur à agir sans délai, par exemple en mettant à jour ses identifiants ou ses informations de paiement. Il inclut un lien généralement hébergé sur un site Web légitime compromis afin de contourner les systèmes de filtrage basés sur la réputation comme par une prise d'empreinte digitale. Il s’agit d’un piège visant à vous pousser à dévoiler vos informations d’identification Office 365. Il peut s’agir de la première étape d’une attaque en plusieurs phases. L’objectif est ainsi de fournir à l’attaquant tout ce dont il a besoin pour lancer des attaques latérales au sein de l’entreprise à l’aide de ce nouveau compte Office 365 compromis.
Attaque par partage de fichier
Dans le cadre d’une attaque par partage de fichier, vous recevez un avis de partage de fichier via un email envoyé par un expéditeur au nom courant, comme « Martin » ou « Julie ». Vous êtes ensuite redirigé vers une page de connexion OneDrive factice qui permet à l’attaquant de subtiliser vos informations d’identification. La manœuvre n’attire pas l’attention : vous vous dites simplement que vous avez été déconnecté. L’attaquant compte sur le fait que vous utilisiez Office 365 sans y prêter attention et que vous ne vous rendiez donc pas compte de la situation.
Il peut préparer son attaque en créant un compte d’essai gratuit Office 365. Cette procédure est à la fois simple et rapide. Une fois ce compte créé, il peut accéder à SharePoint et envoyer un malware ou des fichiers chargés comme le phishing et récupérer des informations d’identification. Il partage alors ces fichiers avec sa victime, en lui demandant de les « modifier ». En réalité, il en profite pour récupérer ses informations d’identification.
Éviter les attaques de phishing ciblant Office 365
Les attaques de phishing ciblant Office 365 contournent la plupart des mécanismes de sécurité standard intégrés dans Exchange Online Protection (EOP). Il existe toutefois deux stratégies efficaces pour limiter les risques. L’une est la formation des utilisateurs contre le phishing.
Plus vos utilisateurs seront vigilants et informés, plus ils auront de chances de repérer une attaque de phishing. Toutefois, la formation ne doit pas prendre la forme de sessions ou de simulations périodiques. Elle doit être continue et intervenir à la volée, lorsque les utilisateurs cliquent sur les menaces, pour être mieux mémorisée et comprise.
La deuxième consiste à ajouter un deuxième niveau de sécurité de l’email, intégré nativement à Office 365 par le biais d’une API, et qui vient compléter EOP. Une solution native s’intègre à EOP, au contraire des passerelles de messagerie sécurisées, qui sont installées en dehors de la plateforme.
Une solution basée sur une API peut ainsi analyser les emails internes et détecter les attaques venues de l’intérieur, ainsi que les attaques en plusieurs phases. Par ailleurs, une solution basée sur l’intelligence artificielle (IA) et notamment sur l’apprentissage automatique, exploite l’analyse comportementale en temps réel pour assurer une protection contre les menaces inconnues. C’est là toute la différence avec des méthodes axées sur les empreintes ou la réputation, qui ne détectent que les menaces connues (expéditeurs malveillants et malwares connus).
Dans le cadre de cette approche proactive, les technologies basées sur l’IA analysent des quantités phénoménales de données pour repérer les comportements aberrants et les éléments inhabituels liés à la conception ou à l’envoi des emails et détecter ainsi les nouvelles menaces.
Pour rester protégées, les entreprises doivent renforcer la sécurité d’Office 365 à l’aide de mécanismes spécifiques, tout en formant leurs employés à la problématique des attaques de phishing. Ensemble, les personnes et technologies assurent une protection imparable.
