Les cybercrooks utilisent Google Forms pour extraire les informations de connexion des utilisateurs Office 365 sans méfiance

Microsoft Office 365 Phishing Google Forms

Sauf quelques exceptions, attaquer une organisation a le potentiel d'être beaucoup plus rentable que d'attaquer un utilisateur à domicile. Les entreprises ont beaucoup plus à perdre. Ils traitent les données des entreprises et des clients qu'ils ne souhaitent pas voir compromises et, pour la plupart, ils savent que le piratage de leurs systèmes pourrait avoir des conséquences majeures. À la lumière de cela, vous pourriez penser que le piratage réussi d'une organisation commerciale nécessite beaucoup plus de sophistication. Une récente campagne de phishing sur laquelle Cofense a écrit, cependant, montre que ce n'est pas toujours le cas.

Utilisateurs d'Office 365 ciblés par une campagne de phishing

Les experts de Cofense ont déclaré avoir constaté une augmentation notable du nombre d'e-mails de phishing destinés aux utilisateurs d'Office 365 travaillant pour des entreprises de toutes formes et tailles. La campagne qu'ils ont examinée de plus près a commencé par une autre attaque.

Les escrocs ont réussi à compromettre le compte de messagerie d'une personne travaillant pour CIM Finance, une société de services financiers. Après l'attaque initiale, les criminels ont utilisé les systèmes de CIM Finance pour envoyer un grand nombre d'e-mails de phishing, et le fait que les messages provenaient d'une véritable entreprise les a aidés à passer les contrôles anti-usurpation comme DKIM et SPF.

Les e-mails eux-mêmes proviendraient d'une «équipe informatique d'entreprise» qui avertit le destinataire de l'expiration de son compte Office 365. Le message indique que l'utilisateur doit mettre à jour son mot de passe s'il ne souhaite pas voir son compte suspendu. Comme vous l'avez peut-être déjà deviné, le bouton «Mettre à jour maintenant» mène à une page qui n'est en aucun cas connectée à Office 365.

Au lieu de cela, les victimes voient une page de connexion créée avec Google Forms qui se fait passer pour celle de Microsoft et demande à l'utilisateur ses informations d'identification. Tout ce qui est entré dans les champs est envoyé aux escrocs à l'aide d'un autre service gratuit offert par le géant des moteurs de recherche préféré au monde - Google Drive.

Une attaque grossière qui pourrait être très efficace

Les escrocs n'ont pas mis beaucoup d'efforts dans l'attaque. Le fait qu'ils commencent par compromettre un compte dans une entreprise légitime pourrait vous faire croire qu'ils savent ce qu'ils font, mais dans l'ensemble, ils n'ont pas montré le niveau de sophistication auquel vous pourriez vous attendre d'un groupe de criminels essayer d'attaquer les utilisateurs professionnels.

En utilisant Google Forms pour créer la page de phishing, par exemple, les escrocs ont probablement réussi à économiser quelques dollars, mais cela n'a rien fait pour rendre l'arnaque plus légitime. En effet, une page desservie par un service Google affichera une icône de verrouillage verte dans la barre d'adresse, ce qui pourrait simplement tromper certaines personnes. Là encore, les hameçonneurs moins paresseux installent de toute façon des certificats SSL sur leurs kits d'hameçonnage soigneusement conçus, ce n'est donc pas vraiment un avantage.

Le faux formulaire de connexion a été décrit comme «inférieur aux normes» par les chercheurs de Cofense, ce qui n'est pas vraiment une surprise compte tenu des limites de Google Forms. Les experts ont déclaré que la mise en page est loin d'être convaincante et que certaines erreurs de formatage et de mise en majuscule font disparaître l'arnaque assez rapidement. Le fait que lorsqu'un utilisateur saisit son mot de passe dans le champ, il s'affiche sous forme de texte brut est sûr de déclencher un certain nombre de sonneries d'alarme également. Ou bien?

Sans l'ombre d'un doute, c'est loin de l'attaque de phishing la plus sophistiquée, mais le simple fait qu'elle existe prouve que les escrocs misent sur son succès. Toute campagne de phishing repose sur l'incapacité des gens à repérer les signes parfois évidents d'une arnaque, et les téraoctets sur téraoctets de noms d'utilisateur et de mots de passe volés qui sont échangés quotidiennement sur les marchés souterrains montrent que cela se produit plus souvent qu'il ne devrait. Aucune attaque, aussi mal exécutée soit-elle, ne doit être sous-estimée.

Par Duran
February 26, 2020
News
Français
February 26, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.