Les escrocs du phishing savent vraiment tirer profit d’une situation, comme la pandémie du Covid-19. Les changements survenus dans le monde des affaires pendant cette période ont été sans précédent.
Les employés sont rapidement transférés vers le travail à domicile, ce qui est facilité par l’utilisation des technologies numériques.
Cela a créé une opportunité parfaite dont les escrocs du phishing ont profité. Le résultat : une augmentation de 30 000 % des menaces basées sur le Covid-19, aidée par des sites web armés et d’e-mails de phishing.
Les sites web malveillants ont contribué à ce fait, mais surtout les plateformes de collaboration à distance que les entreprises utilisent.
Au cours du premier semestre 2020, SharePoint, OneDrive et d’autres portails se sont révélés être un moyen idéal pour améliorer le taux de réussite d’une campagne de phishing.
Sécuriser les portails de collaboration en ligne
L’évolution du phishing est, bien sûr, conforme à l’évolution de la technologie.
Jusqu’à une date assez récente, une méthode typique utilisée dans les e-mails de phishing pour installer un malware sur un appareil consistait à télécharger un malware sous forme de pièce jointe infectée, généralement un document Office ou PDF.
Cette méthode correspondait à l’utilisation des e-mails par les employés pour partager des documents. Elle a été couronnée de succès et se poursuit encore jusqu’à maintenant.
Cependant, comme les entreprises se tournent de plus en plus vers l’utilisation de portails de collaboration en ligne, les employés sont moins susceptibles de partager des documents via la messagerie électronique.
En réponse à ce changement, les cybercriminels modifient leurs tactiques.
Au lieu d’envoyer des e-mails contenant des documents infectés par des malwares, ils se servent du fonctionnement des portails de collaboration en ligne.
En fait, ils envoient des e-mails contenant des liens partagés vers des documents ou d’autres fichiers.
Toutes ces plates-formes risquent d’être utilisées à mauvais escient par des campagnes de phishing via des liens malveillants dans des courriers électroniques dont l’apparence est celle du portail authentique.
Sachez toutefois que ces escroqueries de phishing se concentrent actuellement sur SharePoint et OneDrive.
Comment fonctionne l’escroquerie de phishing de SharePoint et OneDrive ?
Proofpoint a alerté le monde sur les dernières escroqueries visant son portail de collaboration, impliquant SharePoint et OneDrive. L’un des aspects les plus inquiétants de ces campagnes de phishing était le taux de réussite élevé.
En réalité, Proofpoint a constaté que les utilisateurs avaient 7 fois plus de chances de cliquer sur un lien malveillant SharePoint ou OneDrive. Il y a des raisons essentielles à cela, qui sont au cœur du fonctionnement de ce type d’escroquerie.
Le phishing est autant une question de comportement humain que de technologie. Les cybercriminels savent que le fait de piéger les utilisateurs pour qu’ils accomplissent une action peut effectivement faire le travail à leur place.
Pour amener un utilisateur à faire quelque chose, il faut de la « confiance ». C’est cet élément de confiance que les escrocs utilisent lorsqu’ils usurpent des marques connues, telles que SharePoint et OneDrive.
Au cours des premier et deuxième trimestres de 2020, 5,9 millions d’e-mails contenant des liens malveillants vers SharePoint et OneDrive ont été détectés.
Cela peut sembler beaucoup, mais cela ne représente que 1 % du nombre total des e-mails de phishing malveillants envoyés chaque jour dans le monde.
Un point important, cependant, est que ce 1 % représente 13 % des clics des utilisateurs, entraînant ainsi le téléchargement de liens malveillants.
En fait, les utilisateurs cliquent sur ces liens, car ils croient qu’il s’agit d’un e-mail légitime qui leur demande de collaborer à un travail.
L’objectif de ces e-mails de phishing est la prise de contrôle du compte d’un utilisateur. Proofpoint a pu utiliser ses recherches pour analyser le cycle de vie du phishing, qui est décomposé ci-dessous en plusieurs étapes :
Étape 1 : Un compte dans le cloud est compromis. Ceci peut être réalisé en utilisant un e-mail de spear-phishing.
Étape 2 : Un fichier malveillant est téléchargé sur le compte compromis. Les autorisations de partage sont définies sur « Public » et le lien anonyme est généré et partagé.
Voici plusieurs exemples de fichiers malveillants fournis par Proofpoint :
Exemple 1 : Un fichier PDF qui se présente comme une facture. La facture exige de l’utilisateur qu’il clique sur un lien. Celui-ci l’amène ensuite à une page de connexion OneDrive usurpée qui vole les informations d’identification saisies dans les champs de connexion.
Exemple 2 : Un fichier de messagerie vocale OneNote hébergé sur SharePoint. Le fichier OneNote contient un malware. Tout utilisateur qui ouvre le fichier pour écouter le message vocal pourrait être infecté par le malware.
Étape 3 : Le lien est envoyé à des cibles internes et externes. Ce lien est généralement une URL de redirection et est difficile à détecter à l’aide de méthodes conventionnelles.
Étape 4 : Le destinataire ouvre le courrier électronique et s’il clique sur le lien, il est dirigé vers une page de connexion SharePoint/OneDrive d’apparence douteuse, mais légitime. Le processus recommence alors, à l’infini.
Proofpoint a trouvé 5 500 utilisateurs qui avaient un compte compromis, ce qui représente une grande partie de la clientèle de Microsoft.
Une fois les identifiants de connexion volés, les pirates peuvent les utiliser pour accéder aux comptes réels des victimes sur SharePoint ou OneDrive et voler des informations sur leur entreprise, compromettre d’autres comptes et même réaliser d’autres escroqueries, notamment le Business Email Compromise (BEC).
Comment éviter que votre organisation ne soit victime d’une escroquerie à un portail de collaboration en ligne ?
Les recherches d’un consortium composé de Google, PayPal, Samsung et l’Université d’État de l’Arizona ont examiné les niveaux de menace du phishing. Le rapport qui en résulte fait une observation importante.
Les attaques réussies font appel à une ingénierie sociale très sophistiquée, complétée par des techniques de détection et d’évasion.
Le rapport note également que les 5 % des attaques les plus importantes sont responsables de 78 % des clics réussis vers un site malveillant. Pour dire les choses simplement, les escroqueries par phishing sont de plus en plus difficiles à prévenir.
La sensibilisation à la sécurité ne suffit pas à empêcher les utilisateurs de cliquer sur des liens malveillants et d’être manipulés pour entrer des données de connexion et d’autres informations sensibles.
Les escrocs du phishing sont passés maîtres dans l’art de la manipulation comportementale intelligente. Comme toutes les approches visant à atténuer les menaces pour la sécurité, une approche proactive et à plusieurs niveaux est la plus efficace.
Les entreprises doivent renforcer la formation à la sensibilisation à la sécurité en utilisant des outils puissants et intelligents qui empêchent un utilisateur d’être dirigé vers un site web frauduleux même s’il clique sur un lien malveillant.
Ces outils devraient inclure l’utilisation d’une plateforme de filtrage de contenu web. Celle-ci empêche les employés de naviguer sur des sites web dangereux et réduit les risques de violation des données de l’entreprise et d’autres cyberattaques.