Des pirates contournent la double authentification Microsoft

Une campagne de phishing massive vise Outlook et Exchange, les services de mail de Microsoft, les pirates parvenant même à contourner le système d'identification à deux facteurs, censé protéger les utilisateurs.

Si vous utilisez Outlook ou Exchange, soyez très prudents en moment ! L'entreprise spécialisée en cybersécurité Zscaler a dévoilé une nouvelle attaque par phishing (hameçonnage en français) particulièrement dangereuse qui vise les messageries de Microsoft. Comme souvent, il s'agit d'une arnaque par usurpation d'identité visant à substituer des données personnelles sensibles – identifiants, mots de passe, coordonnées bancaires… – dans le but d'extorquer de l'argent. Dans son rapport, la firme explique que cette campagne cible principalement les professionnels et les entreprises, surtout dans les domaines de la FinTech, des prêts, de la finance, des assurances, de la comptabilité, de l'énergie et des crédits fédéraux, mais "il ne s'agit pas d'une liste exhaustive des cibles", insiste le rapport et les particuliers ne sont pas pour autant épargnés.

Un lien malveillant caché dans le corps d'un mail © Zscaler

Phishing : Outlook et Exchange visés par une campagne massive

Les chercheurs ont commencé à travailler sur cette campagne en juin 2022. Ces attaques commencent par l'envoi de mails contenant des liens malveillants, qui sont envoyés directement dans le corps de l'e-mail ou dans un fichier HTML joint au message. Souvent, les mails et liens possèdent des noms de domaine trompeurs, contenant une faute d'orthographe ou une variation trompeuse par exemple (voir notre article sur les faux noms de domaine). Basé sur le modèle AiTM (Adversary-in-the-Middle), les hackeurs s'immiscent entre le client mail et le serveur de l'entreprise grâce à un proxy. Concrètement, à chaque fois qu'un des composants tente de communiquer avec l'autre – flux de données, défis d'authentification, etc. – les données transitent d'abord par les pirates, qui ont alors la possibilité de les observer ou de les modifier avant qu'elles ne soient transmises au destinataire prévu. Cette technique permet de s'approprier les données échangées, y compris la double authentification – et c'est là tout le problème. Cette méthode oblige à l'utilisateur à prouver son identité à l'aide de deux moyens de vérification différents avant de pouvoir accéder à son compte – par exemple, il doit entrer ses identifiants puis un code qui a reçu sur son téléphone portable. Cette technique est très efficace puisque, même si le pirate parvient à s'emparer des identifiants, les données/comptes sont protégés par une deuxième "barrière". Or, face au procédé utilisé ici, cette mesure de sécurité est totalement inefficace.

Mail avec un lien malveillant en pièce-jointe © Zscaler

Une fois qu'ils ont piégé des comptes, les pirates les utilisent à leur tour comme moyen de diffusion de leur attaque, ce qui rend encore plus difficile de détecter un mail frauduleux. "Dans certains cas, les e-mails professionnels de cadres ont été compromis à l'aide de cette attaque de phishing, puis utilisés pour envoyer d'autres e-mails de phishing dans le cadre de la même campagne", explique Zscaler. Une fois introduits, les hackeurs peuvent se connecter au compte de leur victime pour récupérer tranquillement leurs données personnelles et même bancaires. Cette campagne est dure à stopper car ses acteurs mettent constamment à jour leurs tactiques, techniques et procédures pour contourner diverses mesures de sécurité. De nouveaux domaines de phishing sont enregistrés encore aujourd'hui presque chaque jour. C'est pourquoi, par mesure de précaution, il est recommandé de ne pas ouvrir les pièces-jointes ni cliquer sur les liens dans les e-mails envoyés par des sources non fiables ou inconnues. Il faut également bien vérifier l'URL dans la barre d'adresse du navigateur avant de saisir des informations d'identification. Prudence donc.