Schemers se cache derrière SharePoint pour exposer les victimes à l'escroquerie par hameçonnage

Phishing Attack Using SharePoint

Nous avons souvent dit dans ces pages q en termes techniques, le phishing est la forme la plus simple de cybercriminalité. Malgré tout, réussir une attaque hameçonnage nécessite encore quelques préparatifs, surtout si les escrocs tiennent vraiment à ce q ils font. Récemment, Milo Salvia, de Cofense, a parlé une attaque de phishing visant des institutions financières au Royaume-Uni, par exemple, et il faut dire que, dans ensemble, était plutôt bien pensé.

Un email de phishing convaincant

Les escrocs ont commencé par compromettre le compte de messagerie une personne travaillant pour Independent Legal Assessors Ltd. (ILA), une société londonienne fournissant des services juridiques. La signature de e-mail de phishing suggère que celui-ci a été envoyé par David Philips, qui, selon LinkedIn , est le directeur ILA, mais il convient de souligner que, Cofense ayant expurgé adresse de expéditeur, nous ne savons pas exactement qui a perdu le contrôle du cabinet avocats. de leur compte de messagerie.

Bien qu’il soit plutôt court, l’email lui-même n’a pas les fautes de frappe ou les erreurs grammaticales habituelles. est bien formaté, ce qui prouve encore une fois que les escrocs ont vraiment voulu créer un schéma convaincant. Selon le message, M. Philips a envoyé "une proposition" que la cible doit examiner avant que "autres dispositions" ne soient prises. Ladite proposition peut soi-disant être téléchargée à partir d’un lien inclus dans le corps du message.

Le lien est encapsulé dans la protection URL au clic de Symantec, ce qui est probablement fait dans intention de mettre esprit de la cible à aise. Après tout, ce service est conçu pour vérifier URL à laquelle il pointe chaque fois q un utilisateur clique sur le lien, et si quelque chose ne va pas, il doit bloquer tout le trafic. URL indiquée par le lien était toutefois pas malveillante en tant que telle.

En plus de prendre en charge le compte de messagerie ILA, les pirates ont compromis un profil sur la plate-forme de collaboration SharePoint et ont utilisé pour télécharger un document OneNote. Le fichier ressemblait à une proposition, mais le texte était délibérément flou. Au bas de la page, un lien permettait à la cible de télécharger une version lisible de la proposition. Comme vous pouvez imaginer, cela mène à la page de phishing.

Selon Milo Salvia, les escrocs ont compromis un site Web légitime afin héberger leur page de phishing. information whois sur le domaine, cependant, suggère que cela pourrait ne pas être le cas. Le courrier électronique de l’administrateur a également été utilisé pour l’enregistrement de quelques domaines qui semblent avoir été conçus spécifiquement pour le typosquattage .

Le code source de la page de phishing indiquait à Salvia que les informations identification volées avaient été directement envoyées par courrier électronique à un compte Gmail qui, selon le chercheur, avait également été compromis par les phishers.

Une page hameçonnage peu convaincante

À ce stade, il semble que nous ayons une attaque de phishing bien pensée.. Le courrier électronique initial provient une adresse légitime, la protection de URL en un clic est censée assurer aux cibles que rien ne va pas, et le document SharePoint les pousse davantage vers un faux sentiment de sécurité. Les hameçonneurs y ont vraiment mis leur part, et vous vous attendriez à ce que toute cette opération de vol de justificatifs identité soit complétée par une page de phishing aussi proche que possible de originale. Curieusement, cependant, les fraudeurs ne se sont pas trop préoccupés de la partie finale, la plus cruciale de l’attaque.

Le portail de phishing ressemble à la page de connexion Office365 for Business, mais la capture écran fournie par Cofense montre q il agit une imitation très économique. Les victimes avaient la possibilité de se connecter avec leurs informations identification Office365 ou avec le nom utilisateur et le mot de passe de tout autre fournisseur de messagerie. Normalement, cela est fait afin de maximiser la quantité informations volées. Dans ce cas particulier, cependant, quiconque a vu à quoi ressemble la page de connexion origine aurait du mal à croire le portail de phishing. Il s’avère qu’il s’agit en réalité d’un kit de phishing vendu par un groupe appelé Blackshop Tools. Compte tenu de la faible qualité, on peut imaginer que est une des options les moins chères.

Bien que le reste de attaque soit bien conçu, la page de phishing factice devrait être un avertissement suffisant pour la plupart des gens. La prochaine fois q ils tenteront de voler des identifiants de connexion, les escrocs pourraient décider de choisir un kit de phishing de meilleure qualité, ce qui signifie que vous devez rester aussi prudent que jamais, même lorsque la communication dans votre boîte de réception semble tout à fait légitime.

September 13, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 6 + 9 ?