Avec 155 millions d’utilisateurs professionnels, la très populaire suite Microsoft Office 365 fait l’objet des tentatives de phishing les plus évoluées. En plus de toutes les techniques standards de phishing et de spear phishing, Office 365 est ainsi victime d’un certain nombre d’attaques uniques, échafaudées par des hackers avides de compromettre la plateforme.

 

Pourquoi cet intérêt pour Office 365 ?

Pour le troisième trimestre consécutif, Microsoft est la marque la plus visée par les attaques de phishing, en grande partie à cause d’Office 365. En effet, cette plateforme multi-système regroupe des applications de messagerie, de stockage de fichiers, de bureautique et de collaboration, notamment OneDrive et SharePoint. Ensemble, ces applications constituent une cible de choix pour les hackers à la recherche de données et fichiers sensibles.

Une enquête publiée il y a peu par Ponemon a révélé que 52 % des données sensibles ou confidentielles des entreprises interrogées sont stockées sur SharePoint. Qu’il s’agisse de secrets commerciaux ou d’informations financières, SharePoint abrite donc des données stratégiques pour les entreprises, dont la diffusion pourrait causer des dégâts irréparables.

Or, un hacker peut s’appuyer sur une seule combinaison identifiant/mot de passe légitime pour lancer des attaques de spear phishing depuis l’intérieur de l’entreprise et se faire passer pour un employé afin d’obtenir un gain financier sous forme de virements bancaires, cartes cadeaux, rançons, etc. Il pourra par ailleurs récupérer d’autres informations d’identification Office 365 pour infiltrer de nouvelles entreprises.

 

Pourquoi les utilisateurs tombent-ils dans le panneau ?

Les attaquants imitent les protocoles et l’apparence des messages et interfaces d’Office 365 pour pousser les utilisateurs à leur dévoiler leurs informations d’identification. Dans certains cas, ils s’appuient sur le stockage Microsoft Azure Binary Large OBject (BLOB) pour créer des pages d’accueil signées avec des certificats SSL de Microsoft et disposant d’un nom de domaine windows.net. Ces pages étant basées sur la même plateforme que celle utilisée par leurs destinataires, le leurre est presque parfait.

Une fois qu’ils disposent d’information d’identification Office 365 légitimes, les hackers peuvent lancer des attaques en plusieurs phases depuis Office 365. Les emails de spear phishing envoyés en interne leur permettent de se faire passer pour d’autres utilisateurs et de pousser les employés à approuver des virements bancaires, à communiquer des informations sur d’autres employés, à acheter des cartes cadeaux et bien plus encore.

 

Types d’attaques

Toujours plus doués, inventifs et déterminés, les hackers exploitent différentes techniques pour mener à bien leurs attaques de phishing. Globalement, ces attaques sont plus ciblées que par le passé : les hackers limitent le nombre d’emails envoyés et il est rare qu’une attaque dépasse désormais la centaine ou le millier de destinataires. Elles sont aussi ultra dynamiques : nombre d’entre elles exploitent une combinaison destinataire/adresse IP, URL et ligne d’objet unique pour chaque message. Voici quelques techniques visant Office 365 que nous avons repérées et bloquées.

 

Attaque par message vocal

Outlook pour Office 365 vous informe que vous avez reçu un email. L’objet de l’email est le suivant : « Appel entrant : Vous avez reçu un message vocal du +1 508 *** – 250 secondes. » Le piège est personnalisé : votre prénom apparaît dans le corps du message. En plus d’un numéro de téléphone qui semble légitime, l’email contient un lien de phishing sur lequel vous pouvez cliquer pour écouter le message. Surtout, ne le faites pas ! C’est un piège.

Dans l’une de ces attaques, le nom de l’expéditeur est « voice-mail service » et l’adresse de son domaine contient « microsoft.com ». La similitude avec un message système de Microsoft est troublante, vous ne trouvez pas ? Et pourtant, ce n’en est pas un.

Le lien pourrait vous rediriger vers un écran de connexion Microsoft qui paraît parfaitement authentique, mais qui ne l’est absolument pas. C’est un site de phishing conçu pour dérober vos informations d’identification Office 365.

Dans une autre version de cette attaque, le message semble provenir d’une adresse du type « no_reply@myverizon-voices.net » et peut inclure un lien vers un PDF hébergé sur des sites SharePoint compromis. Ce PDF vous redirige ensuite vers un autre site de phishing.

 

Attaque du type « Une action est requise »

Le message dispose d’un objet du type « Une action de votre part est requise. Les informations associées à [adresse_email] sont obsolètes : vous devez revalider votre compte ». Il inclut un lien généralement hébergé sur un site Web légitime compromis afin de contourner les systèmes de filtrage basés sur la réputation. Il s’agit d’un piège visant à vous pousser à dévoiler vos informations d’identification Office 365. Il peut s’agir de la première étape d’une attaque en plusieurs phases. L’objectif est ainsi de fournir à l’attaquant tout ce dont il a besoin pour lancer des attaques latérales au sein de l’entreprise à l’aide de ce nouveau compte Office 365 compromis.

 

Attaque par partage de fichier

Dans le cadre d’une attaque par partage de fichier, vous recevez un avis de partage de fichier via un email envoyé par un expéditeur au nom courant, comme « Martin » ou « Julie ». Vous connaissez forcément un Martin ou une Julie, non ? Vous êtes ensuite redirigé vers une page de connexion OneDrive factice qui permet à l’attaquant de subtiliser vos informations d’identification. La manœuvre n’attire pas l’attention : vous vous dites simplement que vous avez été déconnecté. L’attaquant compte sur le fait que vous utilisiez Office 365 sans y prêter attention et que vous ne vous rendiez donc pas compte de la situation.

 

Éviter les attaques de phishing ciblant Office 365

Les attaques de phishing ciblant Office 365 contournent la plupart des mécanismes de sécurité standard. Les logiciels antimalwares ne peuvent pas les repérer, pas plus que les défenses basées sur la signature ou la réputation intégrées dans Office 365. Il existe toutefois deux stratégies efficaces pour limiter les risques. L’une est la formation des utilisateurs. Plus vos utilisateurs seront vigilants et informés, plus ils auront de chances de repérer une attaque de phishing.

La deuxième consiste à ajouter un deuxième niveau de sécurité, intégré nativement à Office 365 par le biais d’une API, et qui vient compléter la solution Exchange Online Protection (EOP) de Microsoft. Une solution Office 365 native basée sur l’intelligence artificielle (IA) et notamment sur l’apprentissage automatique, exploite l’analyse comportementale en temps réel pour assurer une protection contre les menaces inconnues. C’est là toute la différence avec des méthodes basées sur les empreintes ou la réputation, qui ne détectent que les menaces connues. Dans le cadre de cette approche proactive, les technologies basées sur l’IA analysent des quantités phénoménales de données pour repérer les comportements aberrants et les éléments inhabituels liés à la conception ou à l’envoi des emails et détecter ainsi les nouvelles menaces potentielles.

Pour rester protégées, les entreprises doivent renforcer la sécurité d’Office 365 à l’aide de mécanismes spécifiques, tout en formant leurs employés à la problématique des attaques de phishing. Ensemble, les personnes et technologies assurent une protection imparable.
SC Magazine :  Attaques à phases multiples:  la cyber-attaque qui peut assommer  votre entreprise