Microsoft a émis un avertissement critique concernant une campagne de phishing sophistiquée opérant à l’échelle mondiale. L’attaque cible 35 000 utilisateurs répartis dans 13 000 organisations et utilise des techniques d’ingénierie sociale conçues pour paraître légitimes. Les attaquants se font passer pour des équipes de sécurité internes et créent des e-mails affirmant que tous les liens et pièces jointes ont été examinés en toute sécurité.
La campagne utilise la tromperie visuelle pour renforcer la crédibilité. Une bannière verte prétend faussement que le message est crypté à l’aide de Paubox, un véritable service de communication conforme à la norme HIPAA. Cette technique exploite la confiance des utilisateurs dans des outils de sécurité reconnus. Lorsque les destinataires cliquent sur le lien intégré dans une pièce jointe PDF, ils sont redirigés vers une page de destination affichant un CAPTCHA Cloudflare, présenté comme un mécanisme de validation des « sessions valides ».
Flux d’attaque en plusieurs étapes et vol de jetons
L’attaque utilise plusieurs pages par étapes, chacune présentant des champs de saisie de courrier électronique, des CAPTCHA et des messages d’état rassurants. Cette approche à plusieurs niveaux dissuade les analyses de sécurité automatisées et les bacs à sable. Après avoir transmis le CAPTCHA, les utilisateurs rencontrent une autre page affirmant que les documents sont cryptés et nécessitent une authentification du compte pour continuer.
La redirection finale est spécifique à l’appareil. Les utilisateurs d’ordinateurs de bureau sont dirigés vers un site de phishing où ils sont invités à se connecter avec les informations d’identification Microsoft sous prétexte d’un examen de conformité. Cela déclenche un détournement de session Adversary-in-the-Middle (AiTM). Une fois la session piratée, les attaquants volent les jetons d’authentification et obtiennent un accès direct aux comptes compromis.
Stratégie de défense recommandée par Microsoft
Microsoft recommande aux organisations de prendre des mesures immédiates pour se protéger contre cette menace. Les étapes essentielles incluent la révision des paramètres recommandés pour Exchange Online Protection et Microsoft Defender pour Office 365. Les organisations doivent établir des procédures appropriées de surveillance et de réponse aux activités de menace. Dans la mesure du possible, des méthodes d’authentification sans mot de passe doivent être activées pour réduire le recours aux informations d’identification.
Pour les comptes nécessitant toujours des mots de passe, des applications d’authentification telles que Microsoft Authenticator doivent être utilisées pour l’authentification multifacteur. Les liens sécurisés et les pièces jointes sécurisées doivent être activés dans Microsoft Defender pour Office 365. L’interruption automatique des attaques dans Microsoft Defender XDR doit être configurée pour répondre aux menaces détectées en temps réel.
Formation et sensibilisation
Les contrôles techniques ne peuvent à eux seuls éliminer le risque de phishing. La sensibilisation et la formation des utilisateurs sont tout aussi essentielles. Les organisations doivent effectuer des simulations d’attaques réalistes lors des formations de sensibilisation pour aider les employés à reconnaître les tentatives de phishing. Les employés doivent apprendre à vérifier les adresses e-mail des expéditeurs et à examiner les demandes d’authentification, même lorsque l’e-mail semble provenir d’équipes internes.
La nature en plusieurs étapes de cette campagne démontre l’importance des stratégies de défense en profondeur. Même si une étape est contournée, par exemple si un utilisateur réussit le CAPTCHA, les contrôles techniques ultérieurs devraient empêcher la compromission du compte. Les organisations doivent considérer la sécurité comme une responsabilité partagée entre les systèmes techniques et la vigilance humaine.
