Des pirates tentent de voler les données de connexion d'un compte Microsoft à l'aide d'une escroquerie intelligente sur Google Drive

Phishing Attack Uses Google Drive

Certaines informations de connexion sont plus précieuses que d'autres et, sans surprise, les attaques de phishing visant les comptes importants ont tendance à être beaucoup plus sophistiquées et bien pensées. En janvier, des chercheurs de Check Point sont tombés sur une campagne de phishing, dont ils n'ont parlé que mardi, et ils nous ont montré à quel point il pouvait être difficile de détecter les attaques bien conçues.

Des escrocs ont tenté de voler les informations d'identification Office 365 des utilisateurs avec une attaque de phishing intelligente

Les e-mails ont été envoyés aux employés des organisations qui utilisent Office 365. Premièrement, le message redirigeait la victime vers un fichier PDF hébergé dans le cloud contenant un lien, supposément menant à un document partagé qui intéresse l'employé. Le lien redirigeait vers ce qui ressemble à une page de connexion SharePoint qui demandait à l'utilisateur de se connecter. Il pouvait le faire avec ses informations d'identification Office 365 ou avec son ID d'organisation. Quelle que soit l'option choisie, une fenêtre contextuelle avec un formulaire de connexion Microsoft au look convaincant apparaîtrait et toutes les informations qu'ils y auraient entrées seraient envoyées directement aux escrocs.

Si vous parcourez les captures d'écran de Check Point, vous verrez que les fautes de grammaire et d'orthographe que nous associons souvent aux attaques de phishing sont introuvables. Le formatage est à peu près identique à l'original et, tout au long de l'opération, les utilisateurs peuvent facilement être dupes du fait qu'ils sont vraiment sur le point de se connecter à leurs comptes Microsoft. De plus, une fois qu'ils ont entré leurs identifiants de connexion, ils sont redirigés vers un véritable rapport d'un cabinet de conseil mondial, ce qui pourrait rendre tout encore plus crédible. Ce n'est pas la seule chose qui distingue cette attaque des autres.

Les hameçonneurs ont largement utilisé les services cloud de Google

Le premier PDF que les victimes ont vu était hébergé sur Google Drive. La page d'usurpation d'identité de SharePoint à laquelle elle était liée avait également été téléchargée sur les services d'hébergement cloud de Google, tout comme le formulaire de connexion malveillant lui-même.

De toute évidence, voir une page de connexion Microsoft hébergée sur une infrastructure appartenant à Google n'est pas normal, mais les escrocs savaient que peu d'utilisateurs ont tendance à porter une attention particulière à la barre d'adresse lorsqu'ils saisissent leurs informations de connexion. Ils savaient également que ceux qui le font sont moins susceptibles de devenir suspects s'ils voient un domaine qu'ils reconnaissent.

En utilisant les services de Google, les hameçonneurs parviennent également à éviter les contrôles techniques à la fois des outils automatisés et des administrateurs système surveillant les activités des employés. Dans l'ensemble, l'utilisation du cloud de Google a rendu l'attaque beaucoup plus susceptible de réussir.

L'attaque a été organisée par un groupe de hameçonneurs chevronnés

Le niveau de sophistication démontré par les hameçonneurs ne devrait pas être si surprenant compte tenu de leur expérience. Peu de temps après avoir découvert l'attaque, les chercheurs ont averti Google et les pages malveillantes ont été supprimées. Avant de se déconnecter, cependant, les experts de Check Point ont parcouru le code source et ont remarqué que, bien que les pages soient hébergées sur le cloud de Google, la majorité des ressources étaient chargées depuis prvtsmtp [.] Com, un domaine externe.

Le domaine pointait vers un serveur ukrainien qui a été utilisé dans de nombreuses campagnes de phishing. Premièrement, il hébergeait les pages malveillantes elles-mêmes, et il a ensuite fait partie de l'infrastructure lors des attaques qui utilisaient les services cloud Azure de Microsoft.

Les chercheurs de Check Point ont aidé à mettre fin à l'attaque qu'ils ont découverte en janvier, mais il est peu probable qu'ils arrêtent définitivement le groupe d'hameçonneurs expérimentés qui la soutiennent. Seul le temps nous dira quelle sera la prochaine étape des cybercriminels. En attendant, les employés du monde entier doivent faire particulièrement attention à l'endroit et au moment où ils saisissent leurs identifiants de connexion.

Par Duran
July 22, 2020
News
Français
July 22, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.