Les hameçonneurs en ligne recherchent des comptes d'administrateur Microsoft Office 365 à l'aide de cette arnaque intelligente

Si votre organisation utilise Office 365, vous avez probablement déjà vu des e-mails de phishing ciblant votre communauté. Cependant, c'est une chose lorsque les attaques de phishing ciblent les utilisateurs réguliers, et c'est une tout autre histoire lorsque les criminels visent le compte administrateur Microsoft Office 365. Après tout, si un compte administrateur est compromis, les répercussions pourraient également toucher d'autres utilisateurs à différents niveaux.

Nous utiliserons cette entrée de blog pour vous en dire plus sur le vol d'informations d'identification Office 365, puis nous passerons en revue les directives de protection anti-hameçonnage proposées par Microsoft. Bien que les paramètres recommandés par l'entreprise ne soient que la première étape vers un environnement virtuel sécurisé, cette étape est cruciale si vous souhaitez protéger votre système.

L'attaque de phishing contre les comptes d'administrateur Microsoft Office 365

Les tentatives de compromettre les comptes Office 365 sont effectuées chaque jour. De plus grandes campagnes de phishing sont détectées par des spécialistes de la sécurité, qui partagent ces informations vitales sur leurs blogs. L'attaque de phishing dont nous voulons parler a été révélée pour la première fois par PhishLabs en novembre 2019.

Selon le rapport, les e-mails malveillants ont été livrés à plusieurs comptes d'administrateur Microsoft Office 365. Ces e-mails ont été appelés «leurres de phishing» parce que leur intention était d'attirer les administrateurs à divulguer des informations sensibles.

Bien qu'il soit assez courant pour les utilisateurs réguliers de se faire duper en donnant leurs informations d'identification personnelles, on peut s'attendre à ce que les administrateurs système fassent beaucoup plus attention à cela. Apparemment, c'était aussi ce que les acteurs de la menace pensaient aussi, car les e-mails de leurre de phishing se faisaient passer pour des notifications officielles de Microsoft envoyées à partir de divers domaines validés.

Qu'est-ce qu'un domaine validé? Eh bien, pensez à un domaine qui ne serait pas suspect du tout. Par exemple, si vous avez reçu un e-mail avec les initiales de l'université dans son nom de domaine, vous seriez plus susceptible de faire confiance à cet e-mail, n'est-ce pas? Voici comment fonctionne cette arnaque: les domaines validés peuvent ne pas appartenir à Microsoft, mais ils semblent fiables, et donc, les administrateurs peuvent être incités à lécher les liens de ces leurres de phishing.

Cependant, au moment où ils cliquent sur le lien, ils sont redirigés vers une fausse page de connexion Office 365. Il ressemble à celui normal, et si l'administrateur entre ses identifiants de connexion, les escrocs peuvent les voler et l'utiliser pour accéder au système. Inutile de dire qu'une attaque de phishing au niveau administrateur soulève beaucoup plus de problèmes de sécurité.

Selon le rapport de PhishLabs, selon la configuration d'Office 365, le compte administrateur compromis pourrait également permettre aux cybercriminels de prendre le contrôle d'autres comptes de messagerie au sein du domaine. Sans oublier que les privilèges d'administrateur leur permettent parfois de réinitialiser les mots de passe oubliés et de configurer les préférences d'authentification unique. Par conséquent, si un compte d'administrateur est compromis, l'ensemble du système pourrait être menacé de vol de données grave.

En plus de voler les informations par le biais de cette attaque de phishing, les pirates pourraient créer de nouveaux comptes sur le domaine compromis. De plus, une fois que les criminels ont un certain domaine sous la main, ils peuvent utiliser les ressources du domaine pour envoyer plus de leurres de phishing à d'autres systèmes. Ainsi, un cercle vicieux d'attaques de phishing ne se termine jamais. En fait, le fait que quelqu'un reçoive ces leurres de phishing prouve simplement que certains domaines ont déjà été compromis. Et cela nous amène à un autre point.

Quelle est la particularité de cette attaque de phishing?

Comme nous l'avons déjà mentionné, cette arnaque se démarque car elle cible les comptes d'administrateur. Cependant, il y a encore une chose qui le rend extrêmement sournois. Ce serait utiliser l'infrastructure d'une organisation légitime. L'utilisation d'un domaine légitime permet à ces fraudeurs d'éviter les filtres de messagerie habituels qui redirigent le spam vers le dossier Courrier indésirable. De plus, lorsque de tels messages atteignent la boîte de réception principale, même les administrateurs sont plus susceptibles de les trouver crédibles.

Un autre point intéressant est que les administrateurs des domaines compromis utilisés pour cette attaque de phishing ne peuvent pas remarquer l'activité malveillante. La recherche montre que les escrocs créent de nouveaux comptes sur les domaines affectés pour envoyer du spam, et donc aucun utilisateur de compte légitime ne remarque le courrier sortant. Ce ne sont pas les comptes de messagerie qui sont exploités, mais le domaine lui-même.

Comment éviter les attaques de phishing

Les spécialistes de la sécurité soutiennent que tout le monde devrait se méfier de telles attaques de phishing, car il ne semble pas qu'une entreprise ou une industrie spécifique soit ciblée pour le moment. Les administrateurs doivent simplement se méfier des e-mails contenant des lignes d'objet telles que "Re: Action requise!" Ou "Re: Nous avons bloqué votre compte".

Au lieu de cliquer sur les URL du message, il est conseillé à un administrateur de contacter immédiatement son service informatique. Votre entreprise peut avoir différentes méthodes pour contrer ces incidents de messagerie, mais une double vérification du contenu de la messagerie est toujours un bon point de départ.

Microsoft propose ces directives qui devraient vous aider à améliorer la protection d'Office 365 contre les attaques de phishing.

Comment améliorer la protection d'Office 365

  1. Accédez au centre d'administration et sélectionnez Sécurité .
  2. Accédez à Threat Management , choisissez Policy et accédez à ATP Anti-phishing .
  3. Choisissez la stratégie par défaut et sélectionnez Modifier dans la section Emprunt d'identité .
  4. Ouvrez Ajouter des domaines à protéger et sélectionnez pour inclure automatiquement vos domaines.
  5. Ouvrez Action , cliquez sur la liste déroulante Si un e-mail est envoyé par un utilisateur emprunté .
  6. Sélectionnez l' action souhaitée et choisissez Activer les conseils de sécurité sur l' emprunt d' identité.
  7. Choisissez les conseils que vous souhaitez et cliquez sur Enregistrer .
  8. Accédez à l' intelligence de la boîte aux lettres et assurez-vous qu'elle est activée .
  9. Sélectionnez Ajouter des expéditeurs et des domaines approuvés pour ajouter des domaines et des adresses e-mail fiables.
  10. Accédez à Revoir vos paramètres et cliquez sur Enregistrer .
  11. Appuyez sur Fermer et quittez le menu.

Outre l'utilisation des mesures de sécurité les plus élémentaires, il est toujours fortement recommandé de rappeler constamment aux utilisateurs réguliers les dangers des attaques de phishing. Parfois, un problème grave peut commencer avec un seul e-mail de phishing errant avec lequel un utilisateur distrait interagit sans arrière-pensée.

Les administrateurs doivent envisager d'éduquer les utilisateurs sur l'importance des mots de passe forts et de l'authentification multifacteur. Les gestionnaires de mots de passe sont également fortement recommandés, et si vous voulez savoir comment cela fonctionne, vous pouvez le voir par vous-même en cliquant sur le bouton orange GRATUIT d'essai de 30 jours à droite.

February 6, 2020

Laisser une Réponse