Usurper l’identité du fournisseur d’un service en ligne passe aussi par les certificats de sécurité.
Une campagne de phishing repérée par l’éditeur américain Netskope en témoigne. Opérationnelle au moins depuis le mois d’août, elle a pour objectif d’obtenir l’accès à des comptes Office 365, vraisemblablement d’utilisateurs localisés aux États-Unis.
Le levier exploité est classique : des documents joints à des e-mails légitimes en apparence (semblant provenir tantôt d’un cabinet d’avocats, tantôt d’un fabricant d’équipement dentaire…). Y figure une image cliquable invitant à télécharger un fichier PDF.
Le faux formulaire de connexion Office 365 vers lequel mène le lien a une particularité : il est hébergé sur le cloud Azure, via le service Stockage Blob. Conséquence : le certificat SSL est signalé comme fourni par Microsoft. De quoi tromper la vigilance des utilisateurs qui iraient vérifier sa provenance.
Pour assurer la collecte de données valides, l’attaque se déroule en deux temps. Après l’envoi du formulaire, la victime est dirigée vers une autre page hébergée sur Azure qui l’avertit que l’e-mail et le mot de passe ne correspondent pas. Une fois les informations ressaisies, on est finalement acheminé vers le site commercial de Microsoft, sur la page de présentation de SharePoint.
Cette technique n’avait pas été exploitée dans le cadre de l’attaque qui avait visé Gmail l’an dernier. Les utilisateurs n’étaient d’ailleurs pas invités à saisir leurs identifiants, mais à accorder l’accès à leur compte par une application malveillante déguisée en Google Docs.
Photo d’illustration via VisualHunt
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…