Hameçonnage : vol d’identifiants de Microsoft Office | Blog officiel de Kaspersky

Business e-mail enterprise hameçonnage phishing

Grâce aux adresses e-mail professionnelles, les cybercriminels peuvent mener des attaques afin de compromettre la messagerie de l’entreprise. D’ailleurs, il existe de nombreux e-mails d’hameçonnage qui incitent les utilisateurs à se connecter sur des sites qui ressemblent à la page de connexion de MS Office. C’est pour cette raison que vous devez savoir à quoi faire attention si un lien vous renvoie vers à une page comme celle-là.

Les cybercriminels qui volent les données de connexion des comptes Microsoft Office ne datent pas d’hier. Cependant, les techniques que les cybercriminels utilisent pour mener leurs attaques sont de plus en plus sophistiquées. Aujourd’hui, nous allons nous référer à un cas réel (un message que nous avons reçu) pour vous expliquer les meilleures choses à faire et vous présenter leurs nouvelles astuces.

Nouvelle ruse de phishing : pièce jointe au format HTML

Un e-mail d’hameçonnage contient généralement un lien hypertexte qui renvoie vers un faux site. Comme nous disons toujours, les liens hypertexte doivent être examinés de près. Il faut prendre en compte leur apparence générale et la véritable adresse à laquelle ils renvoient (la plupart des services de messagerie et des interfaces Web permettent de voir l’adresse cible en passant la sourie sur l’URL). Bien entendu, une fois que les gens ont compris la technique, les escrocs ont commencé à remplacer les liens par des fichiers joints au format HTML dont le seul rôle est de rediriger automatiquement la victime vers un site.

Lorsque l’on clique sur le fichier joint HTML, ce dernier s’ouvre dans un nouvel onglet. En ce qui concerne l’aspect hameçonnage, le fichier ne présente qu’une seule ligne de code (javascript: window.location.href), avec l’adresse du faux site en tant que variable. Cela force le navigateur à ouvrir le site Web dans la même fenêtre.

Que chercher dans un e-mail d’hameçonnage

Si nous laissons de côté les nouvelles techniques, l’hameçonnage reste de l’hameçonnage, donc commencez par analyser l’e-mail. Voici le message que nous avons reçu. Ici, il s’agit d’une fausse notification d’un message vocal.

E-mail d'hameçonnage

E-mail d’hameçonnage

Avant de cliquer sur le fichier joint, vous devez vous poser quelques questions :

  1. Connaissez-vous l’expéditeur ? Est-il possible que ce dernier vous laisse un message vocal au travail ?
  2. Est-ce courant d’envoyer des messages vocaux par e-mail dans votre entreprise ? Bien qu’on ne l’utilise plus trop de nos jours, Microsoft 365 ne prend plus en charge la messagerie vocale depuis janvier 2020.
  3. Savez-vous précisément quelle application vous a envoyé la notification ? MS Recorder ne fait pas partie du pack Office. De plus, l’application d’enregistrement audio par défaut de Microsoft qui pourrait en théorie envoyer des messages vocaux, s’appelle Voice Recorder et non MS Recorder.
  4. Est-ce que le fichier joint ressemble à un fichier audio ? Voice Recorder permet de partager des enregistrements audios, mais sous la forme d’un fichier ayant l’extension .m3a. Même si l’enregistrement provient d’une source inconnue et qu’il est stocké sur un serveur, il devrait y avoir un lien et non une pièce jointe.

En conclusion, nous avons un e-mail provenant d’une source inconnue contenant soi-disant un message vocal (une fonctionnalité que nous n’utilisons jamais) enregistré par un programme inconnu et envoyé en tant que pièce jointe sur une page Web. Est-ce que ça vaut la peine de l’ouvrir ? Certainement pas.

Comment reconnaître une page d’hameçonnage

Supposons que vous avez cliqué sur le fichier joint qui vous a redirigé vers une page de phishing. Comment savoir que ce n’est pas un site légitime ?

Une page de phishing

Une page de phishing

Voici ce que vous devez regarder :

  1. Le contenu de la barre d’adresse ressemble-t-il à celui d’une adresse de Microsoft ?
  2. Est-ce que les liens « Impossible d’accéder à votre compte ? » et « Se connecter avec une clé de sécurité » vous redirigent au bon endroit ? Même sur une page de phishing, ils peuvent renvoyer vers une vraie page Microsoft. Dans notre cas ils étaient inactifs, ce qui prouve qu’il s’agit d’une escroquerie.
  3. La fenêtre est-elle normale ? Microsoft n’a généralement aucun problème avec les détails tels que les images de fond. Bien entendu, des bugs peuvent arriver à tout le monde, mais les anomalies devraient vous mettre la puce à l’oreille.

Dans tous les cas, si vous avez un doute, allez sur https://login.microsoftonline.com/ pour voir à quoi ressemble la vraie page de connexion de Microsoft.

Comment ne pas mordre à l’hameçon

Pour éviter de donner le mot de passe de votre compte Office aux cybercriminels :

Source: Kaspersky