Une nouvelle attaque de phishing SharePoint a été détectée. Elle consiste à tenter de voler des justificatifs d’identité de Microsoft Office 365. Cette plate-forme est désormais populaire auprès des petites, moyennes et grandes entreprises, si populaire qu’elle a suscité l’attention des cybercriminels pour voler des données confidentielles comme des noms d’utilisateur et des mots de passe.
Les e-mails frauduleux envoyés dans le cadre de cette campagne sont semblables à ceux utilisés dans d’innombrables attaques de phishing de Google Docs. À première vue, ils ressemblent à des propositions de collaboration par le biais du partage de fichiers. Pourtant, ces e-mails sont souvent utilisés pour diffuser des malwares, des documents contenant des macros malveillantes ou des liens qui pointent vers des sites web où des malwares peuvent être téléchargés par l’utilisateur et à son insu.
Cette attaque d’usurpation d’identité de marque utilise un format d’e-mail identique à celui utilisé dans les messages authentiques. Les e-mails de phishing utilisent un format bien défini, contiennent des logos et des liens qui rendent les messages identiques aux messages légitimes demandant une collaboration sur un projet.
Utiliser des messages non sollicités pour lancer une attaque de phishing
Nous recevons souvent des messages non sollicités ou indésirables que nous appelons généralement des spams. Il peut s’agir d’e-mails que nous n’avons pas demandés, de messages qui proviennent d’une personne ou d’une entreprise dont nous n’avons jamais entendu parler et qui essaient de nous vendre des produits qui ne nous intéressent même pas, etc.
Cela dit, la plupart des spams ne sont pas des courriers indésirables. Ils peuvent également être dangereux. Certains contiennent non seulement des pièces jointes ou des liens dont vous ne voulez pas, mais aussi des contenus malveillants.
Les types d’e-mails malveillants les plus répandus sont ceux utilisés pour le phishing. Ce mot anglais est utilisé lorsqu’un escroc tente d’envoyer une sorte de message électronique qui semble légitime pour inciter ses victimes à faire quelque chose de peu sûr, comme le fait de divulguer leurs informations personnelles sensibles.
Le terme phishing renvoie à sa variante orthographique « fishing » qui signifie « pêcher », d’où vient la métaphore d’un pêcheur – ou d’un cybercriminel – qui lance sa ligne pour vous inciter à mordre à l’hameçon grâce à un leurre crédible au premier coup d’œil.
Cette fois, le leurre utilisé est un document SharePoint
Cette attaque de phishing SharePoint comprend un hyperlien vers un document SharePoint authentique. Ce document ne peut pas être considéré comme malveillant puisqu’il ne contient pas de malware.
Le fichier SharePoint informe l’utilisateur que le contenu qu’il recherche a été téléchargé sur OneDrive for Business et un clic supplémentaire est nécessaire pour accéder au fichier. Un hyperlien nommé « Access Document » est inclus dans ce fichier SharePoint avec le logo authentique OneDrive for Business et les graphiques appropriés.
Au premier abord, le document ne semble pas malveillant, mais la vérification de l’URL de destination du lien peut révéler qu’il dirige l’utilisateur vers un site web suspect.
C’est sur ce site web que se déroule la tentative de phishing.
Après avoir cliqué sur le lien, l’utilisateur reçoit une fenêtre de connexion pour Office 365 – vers laquelle les criminels voulaient vous attirer depuis le début – et doit saisir ses informations de connexion Microsoft. Si à ce stade, il saisit ses informations d’identification, celles-ci seront transmises aux cybercriminels qui sont à l’origine de la campagne de phishing.
Il est peu probable que l’utilisateur se rende compte qu’il a été victime d’un phishing réussi, car après avoir entré ses identifiants, il sera dirigé vers un véritable site de Microsoft Office. Dans d’autre cas de phishing, les cybercriminels préfèrent présenter un faux message d’erreur, en supposant peut-être que leurs victimes aient essayé d’autres comptes et en espérant qu’elles leur donnent d’autres mots de passe.
Les entreprises comme principale cible
Cette forme de phishing cible essentiellement les entreprises, car les utilisateurs professionnels d’Office ont souvent l’habitude de collaborer à l’aide de SharePoint. Ils sont donc plus susceptibles de répondre aux e-mails des pirates informatiques.
Avant 2011, le système de collaboration basé sur site web SharePoint était réservé aux moyennes et grandes entreprises à cause de son coût élevé. Mais lorsque Microsoft a regroupé SharePoint et sa version dans le cloud (SharePoint Online) dans la licence Office 365, un changement s’est produit. La plateforme est devenue accessibles aux petites entreprises.
SharePoint fonctionne comme une option personnalisable flexible de stockage et de récupération des données. Il fonctionne tel qu’un intranet, permettant au personnel de télécharger et d’accéder à des fichiers, des données et bien d’autres contenus. L’équipe de direction peut par exemple créer des flux de nouvelles afin de partager des informations à l’échelle de l’entreprise, ou personnaliser des portails pour chaque service. Les contenus peuvent être partagés avec d’autres collaborateurs et sont accessibles par des URL, plutôt que par des solutions de gestion de documents basées sur des dossiers.
Lorsqu’il est utilisé avec Office 365, SharePoint permet de construire des solutions abordables et riches en fonctionnalités pour la gestion des documents, des contrats et pour la collaboration interne et externe, quels que soient la taille de l’organisation et le secteur dans lequel elle intervient.
L’accès à un compte d’entreprise Office 365 est plus lucratif pour les cybercriminels, car cela leur permet d’accéder à des comptes de messagerie dans le but de les utiliser lors de campagnes de phishing ultérieures. Les informations qu’ils obtiennent leur permettent également d’accéder aux données stockées dans ces comptes de messagerie et à d’autres données sensibles.
Attaque de phishing SharePoint : même Microsoft ne l’a pas vue venir
C’est ce qui rend cette attaque pertinente.
Bien qu’elles soient susceptibles d’analyser les e-mails à la recherche de liens et de pièces jointes suspects, les victimes de l’arnaque ne seraient pas capables de considérer le lien vers leur propre SharePoint Online comme malveillant.
De plus, Microsoft n’analyse pas les fichiers hébergés sur SharePoint. Les pirates informatiques disposent donc d’un moyen facile d’utiliser la plate-forme même sur laquelle ils peuvent escroquer les utilisateurs qui saisissent leurs informations d’identification pour s’y connecter.
Pour se protéger contre les menaces potentielles en ligne, le logiciel Office 365 analyse les liens dans le corps des messages électroniques pour rechercher les liens et domaines suspects. Par contre, il n’analyse pas les liens dans les fichiers hébergés sur ses autres services, comme SharePoint. Etant donné que le lien intégré au message malveillant mène à un document SharePoint réel, Microsoft ne pouvait donc pas l’identifier comme une menace. Cela représente une vulnérabilité évidente dont les cybercriminels n’hésiteraient pas à tirer parti pour propager des attaques de phishing.
Et même si Office 365 devait analyser les liens contenus dans les fichiers, le logiciel serait encore confronté à un autre défi : il n’est pas capable de bloquer une URL considérée comme suspect sans bloquer les liens vers tous les fichiers SharePoint. S’il bloque l’URL complète du fichier SharePoint, les escrocs pourraient encore télécharger un nouveau fichier au contenu similaire sur SharePoint et créer facilement une nouvelle URL malveillante.
Méfiez-vous des autres attaques de phishing utilisant les outils collaboratifs en ligne
Les attaques de phishing SharePoint, les attaques de phishing Google Docs et les campagnes similaires d’usurpation de Dropbox sont courantes et très efficaces. En fait, les adresses e-mail des utilisateurs professionnels peuvent facilement être trouvées sur des sites en ligne tels que LinkedIn. Les pirates peuvent aussi les chercher dans des listes d’adresses e-mail professionnelles achetées sur le marché noir du web et sur les forums de piratage.
En dépit du fait qu’il existe quelques signes qui sont souvent clairs pour tous pour identifier un e-mail malveillant, de nombreux utilisateurs tombent encore dans des escroqueries aussi évidentes et finissent par payer cher leur erreur. Voici deux exemples d’une escroquerie par phishing par Dropbox et Google Docs.
En 2014, des cybercriminels ont par exemple envoyé des e-mails contenant des liens malveillants pointant vers un fichier ZIP sur Dropbox. Les messages contenaient un économiseur d’écran qui était un ransomware ressemblant à CryptoLocker. Le but des escrocs étant d’inciter les destinataires des e-mails à cliquer sur le lien par diverses tactiques, notamment en déguisant le message pour que le lien semble pointer vers un rapport, une facture ou un message de fax.
Lorsque les victimes ont cliqué sur le lien vers le fichier compressé, puis sur le fichier économiseur d’écran, ils exécutaient le ransomware qui chiffrait ensuite les fichiers sur leurs disques durs. Une fois exécuté, le malware lançait une page sur leurs navigateurs par défaut et exigeait le paiement d’une rançon de 500 dollars en bitcoins – à déposer dans le portefeuille électronique des cybercriminels – pour déchiffrer leurs fichiers. Ce montant était doublé si les victimes ne le fait pas au bout d’un certain temps.
Au final, les escrocs ont collecté au moins 62 000 dollars via des transactions réalisées sur le réseau Tor.
En 2017, le web était également rempli de nouvelles qui rapportaient une nouvelle arnaque de phishing sophistiquée utilisant Google Docs pour inciter les utilisateurs à divulguer leurs identifiants de connexion lorsqu’ils ouvraient un faux document Google.
Google a pu rapidement mettre fin à l’escroquerie en quelques heures. Il a indiqué qu’en une heure environ, l’attaque aurait touché moins de 0,1 % de ses utilisateurs. Mais la mauvaise nouvelle est que, pendant ces quelques heures, la campagne de phishing a déjà fait beaucoup de dégâts.
Dans un rapport d’ABC News, Christopher Buse, responsable de la sécurité informatique de l’État du Minnesota, a affirmé que 2 500 employés de l’État ont reçu l’e-mail de phishing.
Le traitement de cette attaque aurait coûté environ 90 000 dollars aux contribuables, notamment à cause du temps perdu par les employés de l’État pour traiter l’attaque par rapport à leurs tâches quotidiennes normales.
Ces deux escroqueries ont mis en évidence l’importance d’être toujours vigilent lorsqu’on clique sur un lien inconnu.
En général, ces attaques profitent de la familiarité avec ces services de collaboration, de la confiance des utilisateurs dans les marques, du manque de sensibilisation à la sécurité et des mauvaises habitudes des employés (ceux-ci ne prennent pas le temps de réfléchir avant de cliquer sur un lien quelconque).
Comment se défendre contre une attaque de phishing ?
Les professionnels de la sécurité peuvent aider leurs organisations à se défendre contre une attaque de phishing, y compris celle utilisant Sharepoint, en s’assurant qu’elles adoptent une approche à plusieurs niveaux de la sécurité des e-mails.
Même si, dans de nombreux cas de phishing, les e-mails malveillants sont conçus pour être visuellement impossibles à distinguer des e-mails à caractère professionnel qui semblent sûrs, la formation de sensibilisation à la sécurité peut être très efficace pour inciter les employés à bien réfléchir avant d’agir. De cette manière, ils seront capables de repérer les signes révélateurs de malveillance.
L’essentiel est d’apprendre aux employés de rester toujours vigilant et de remettre en question tout courriel qu’ils ne reconnaissent pas, en particulier s’il intègre des liens qui pointent vers des sites ou des ressources externes.
Votre stratégie devrait également intégrer des simulations de phishing qui permettent d’évaluer la familiarité de vos employés avec les attaques lancées via les e-mails et à proposer une formation continue basée sur les rôles pour les familiariser avec les menaces numériques émergentes. Identifiez ceux qui sont vulnérables avant que les méchants ne le fassent.
Utilisez des solutions technologiques pouvant empêcher la transmission des messages malveillants et un filtre web capable de bloquer ce type d’attaque en empêchant les URL malveillantes d’être visitées.
Une façon pour les entreprises d’éviter les attaques de phishing est la mise en place d’une solution de filtrage web utilisant l’inspection SSL qui permet d’inspecter tout trafic web chiffré ainsi que les services cloud pour détecter les tentatives de vols de données, les attaques de malwares et d’autres menaces avancées.
La solution de sécurité WebTitan de TitanHQ, WebTitan peut par exemple déchiffrer les sites Internet, inspecter leurs contenus, puis les réchiffrer. De cette manière, les sites web malveillants ne pourront plus se cacher derrière un proxy et être identifiés et bloqués. Par ailleurs, WebTitan intègre plusieurs flux intelligents de menaces pour garantir qu’une fois qu’une URL de phishing est détectée, tous les utilisateurs de la solution seront immédiatement protégés. En même temps, il assure une protection contre les URL de phishing émergentes.
Si vous associez WebTitan à une solution avancée de filtrage du spam comme SpamTitan, vous pouvez bloquer les e-mails de phishing à la source et vous assurer qu’ils n’atteignent pas les boîtes de réception de vos employés. Votre entreprise sera donc bien protégée contre les attaques de phishing.