Cette escroquerie par hameçonnage menace de détourner des comptes Microsoft 365 à l'aide de faux messages vocaux

Microsoft 365 comptait plus de 155 millions d'utilisateurs professionnels en 2018 , et avec sa popularité en constante augmentation, il n'est pas étonnant que les pirates trouvent que cela vaut la peine d'attaquer les utilisateurs de ces services. Selon des spécialistes de McAfee Labs qui ont découvert une arnaque de phishing ciblant les utilisateurs de Microsoft 365, les pirates semblent utiliser de faux messages vocaux pour inciter leurs victimes à révéler les informations de connexion de leurs comptes Microsoft 365. Ce n'est pas la première fois que les cybercriminels utilisent des services de messagerie vocale pour attaquer les utilisateurs. Il n'y a pas si longtemps, les pirates ont tenté de reprendre les comptes des utilisateurs de WhatsApp qui utilisaient des mots de passe par défaut pour leurs services de messagerie vocale. Cette fois, le scénario est un peu différent car les pirates n'ont pas besoin d'accéder à votre messagerie vocale. Si vous lisez notre article complet, vous pouvez en savoir plus sur le fonctionnement de cette arnaque et comment sécuriser un compte Microsoft 365 pour vous assurer que les cybercriminels auraient du mal à le pirater.

Comment fonctionne l'arnaque de la messagerie vocale?

Un utilisateur ciblé devrait recevoir un e-mail de phishing qui devrait indiquer qu'il a manqué un appel téléphonique à partir d'un numéro de téléphone particulier. L'e-mail peut ne pas sembler suspect du tout si vous n'examinez pas attentivement le message. Il doit contenir le logo Microsoft ainsi que des informations sur un appel manqué. Ce qui peut sembler étrange, c'est que l'e-mail peut contenir une note disant: « Il s'agit d'un message automatisé qui nécessite une attention immédiate, ne répondez pas. «Il comporte non seulement des erreurs grammaticales, mais incite également un utilisateur à faire quelque chose, ce qui devrait toujours lever le drapeau rouge. Comment un système peut-il savoir que le message est important ou qu'il a besoin de votre attention immédiate?

Si un utilisateur tombe dans le mensonge et ouvre le fichier HTML joint à l'e-mail de phishing, il peut être redirigé vers un site Web de phishing. Le texte du faux site de messagerie vocale devrait indiquer: « Veuillez patienter pendant que Microsoft récupère votre message vocal sur le serveur. »Assez tôt, une victime pourrait entendre une partie d'un faux message vocal enregistré par les escrocs. Bien entendu, pour écouter l'enregistrement complet, les utilisateurs peuvent être invités à se connecter à leur compte Microsoft 365. Par conséquent, le site Web de phishing devrait rediriger les victimes vers un faux site Web de connexion, qui pourrait utiliser le design de Microsoft ainsi que le logo de l'entreprise. Par conséquent, les utilisateurs peuvent penser qu'ils se trouvent sur un site de connexion Microsoft 365 légitime.

Une fois qu'une victime a soumis ses informations de connexion Microsoft 365, elle devrait voir un message affirmant qu'elle s'est correctement connectée. Peu de temps après l'avoir vu, un utilisateur doit être redirigé vers le site légitime office.com. Ainsi, il pourrait prendre un certain temps pour se rendre compte qu'il n'y avait pas de message vocal et que les informations de connexion du compte soumis ont été enregistrées par des cybercriminels.

Comment sécuriser un compte Microsoft 365?

Au lieu de paniquer à propos de la dernière arnaque de phishing, nous vous conseillons d'apprendre à sécuriser les comptes Microsoft 365 pour continuer à utiliser ces services sans craindre que vos comptes ou ceux de vos employés ne soient piratés. Pour ce faire, nous vous recommandons d'utiliser les conseils énumérés ci-dessous.

Activer l'authentification à deux facteurs

L'authentification à deux facteurs est un excellent moyen d'ajouter une couche de sécurité supplémentaire à n'importe quel compte. Après l'avoir activé, les utilisateurs doivent être invités à fournir non seulement les informations de connexion d'un compte, mais également un code de vérification reçu par e-mail ou par téléphone. Dans un tel cas, même si les cybercriminels découvrent le nom d'utilisateur et le mot de passe d'un compte, ils ne pourront toujours pas se connecter sans fournir le code requis. Cependant, gardez à l'esprit que, comme toutes les autres mesures de sécurité, l' authentification à deux facteurs ne peut pas garantir une protection absolue , c'est pourquoi il est plus intelligent de prendre autant de précautions de sécurité que possible.

Configurer des mots de passe forts

Même si vous activez l'authentification à deux facteurs, cela ne signifie pas que vous pouvez utiliser des mots de passe mémorables et faibles. Pour vous assurer que votre compte Microsoft 365 est sécurisé autant que possible, nous vous recommandons de configurer un mot de passe fort. Les spécialistes recommandent d'utiliser au moins 10 à 12 caractères qui devraient inclure à la fois des lettres minuscules et majuscules, des chiffres et des symboles pour créer une combinaison de codes d'accès sécurisée. Si vous ne pensez pas pouvoir trouver un tel mot de passe ou que vous ne puissiez pas le mémoriser, nous vous conseillons d'utiliser un outil dédié comme Cyclonis Password Manager qui pourrait s'en occuper pour vous.

Comptes administratifs sécurisés

Les comptes administratifs des services Microsoft 365 peuvent fournir divers privilèges et les cybercriminels peuvent donc les cibler plus souvent. Par conséquent, les spécialistes recommandent de s'assurer que ces comptes sont protégés avec des mots de passe uniques et une authentification à deux facteurs. En outre, il est conseillé d'utiliser ces comptes uniquement lorsque cela est nécessaire et de fermer les onglets de navigateur inutiles avant d'y accéder.

Former les employés qui utilisent les services Microsoft 365

Même si vous utilisez plusieurs précautions de sécurité pour sécuriser le compte Microsoft 365, il peut toujours être piraté en raison d'une erreur humaine. Les entreprises qui souhaitent empêcher que cela ne se produise doivent éduquer leurs employés sur la cybersécurité et les dernières cybermenaces. Par exemple, pour vous assurer que les courriels frauduleux ciblant les utilisateurs de Microsoft 365 sont repérés à temps, vos employés doivent apprendre à reconnaître les courriels et les sites Web de phishing. De plus, les employés doivent tout savoir sur les programmes et services qu'ils utilisent dans leur travail afin de savoir à quoi s'attendre de leur part et quel type de comportement ou de demande du logiciel qu'ils utilisent peut être suspect.

Dans l'ensemble, la dernière arnaque ciblant les utilisateurs de Microsoft 365 nous montre que les e-mails de phishing ne doivent pas encore être oubliés. Malheureusement, l'examen des e-mails est toujours nécessaire pour ceux d'entre nous qui ne veulent pas être arnaqués. De plus, il est tout aussi important de suivre l'actualité de la cybersécurité pour en savoir plus sur ces attaques à temps. Espérons que ce billet de blog contribuera à faire connaître cette escroquerie par phishing et aidera les utilisateurs à sécuriser leurs comptes Microsoft 365 pour les protéger contre le piratage. Pour ceux qui ne connaissent peut-être pas ces e-mails de phishing à temps et peuvent avoir révélé leurs identifiants de connexion aux cybercriminels, nous vous conseillons d'utiliser le guide fourni par Microsoft.

December 12, 2019
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.