Une nouvelle campagne de phishing a été détectée. Elle utilise les liens Google Drive pour éviter d’être détectée par la protection en ligne d’Office 365 Exchange et pour garantir que les e-mails de phishing arrivent dans les boîtes de réception de leurs cibles.
Les pirates qui envoyaient les e-mails, signalés par Cofense Intelligence, se faisaient passer pour le PDG d’une entreprise qui voulait partager un document important. Le document avait été partagé via Google Drive et avait pour objet « Message important du PDG ».
Google Drive permet d’envoyer facilement des fichiers et des demandes de collaboration à d’autres personnes. Le titulaire du compte choisit avec qui il souhaite partager un fichier et le système génère une alerte par e-mail contenant un lien vers le fichier partagé.
Pour ce cas précis, le nom du PDG était correct, mais l’adresse électronique utilisée était différente du format utilisé par l’entreprise. Bien que ce soit un signe évident que les messages n’étaient pas ce qu’ils semblaient être, certains employés seraient probablement dupés.
Il est important de noter que les messages n’ont pas été considérés comme étant malveillants par le la protection en ligne d’Office 365 Exchange et ils étaient livrés dans les boîtes de réception de leurs destinataires. Une analyse rapide du message ne révélerait rien de suspect, car l’URL intégrée est un lien partagé légitime vers un véritable service d’informatique dans le cloud exploité par Google.
Le document partagé lui-même n’est pas malveillant, mais il contient un URL qui établit un lien vers un autre document Google Docs et une URL de phishing. Si la solution anti-phishing que vous mettez en place évalue uniquement l’hyperlien intégré dans les e-mails pour déterminer s’il est malveillant, le message pourra toujours arriver dans la boite de réception des utilisateurs. Seule une inspection plus approfondie permettrait de révéler la véritable nature de l’URL.
Si l’utilisateur final clique sur le lien, une fausse fenêtre de connexion se présente. S’il saisit ses identifiants de connexion, les données sont capturées et stockées sur le serveur de l’attaquant.
Cette campagne souligne l’importance des défenses anti-phishing multicouches. Elle met également en exergue les risques que peuvent représenter le fait de compter uniquement sur la protection en ligne d’Office 365 Exchange pour assurer la protection contre les attaques de phishing.
Une solution avancée de filtrage du spam devrait être mise en œuvre en plus d’Office 365 pour assurer une meilleure protection contre le phishing et les autres attaques basées sur la messagerie électronique. Cela permettra de bloquer les attaques de phishing plus sophistiquées. De cette manière, même si un message malveillant arrive dans la boîte de réception de la personne ciblée, et même si celle-ci clique sur un lien malveillant, la connexion à la page web malveillante pourrait être bloquée à l’aide d’une solution de filtrage web.
WebTitan est une solution de filtrage de contenu basée sur le DNS. Elle sert de couche supplémentaire dans les défenses anti-phishing des entreprises. Si un employé tente de visiter un site web ou un domaine suspect, la tentative sera bloquée avant qu’un contenu malveillant ne soit téléchargé.
WebTitan évalue chaque site web lorsque la requête DNS est effectuée. Les sites malveillants et ceux qui violent les politiques de contrôle de contenu d’une organisation sont bloqués. Pour en savoir plus sur la façon dont un filtre DNS peut améliorer vos défenses contre les attaques de phishing et les téléchargements de malwares, contactez TitanHQ dès aujourd’hui.