Une nouvelle attaque de phishing ciblant SharePoint a été récemment détectée. Son objectif est de voler des informations d’identification des utilisateurs de Microsoft Office 365. Cette plateforme est devenue extrêmement populaire auprès des petites, moyennes et grandes entreprises. Malheureusement, cette popularité a attiré l’attention des cybercriminels, qui cherchent à voler des données confidentielles telles que les noms d’utilisateur et les mots de passe.
Des e-mails frauduleux ressemblant à des invitations à collaborer
Les e-mails utilisés dans cette campagne de phishing ressemblent beaucoup à ceux utilisés dans de nombreuses attaques de phishing de Google Docs. À première vue, ils semblent être des invitations à collaborer en partageant des fichiers. Cependant, ces e-mails sont souvent conçus pour diffuser des logiciels malveillants, des documents contenant des macros nuisibles, ou des liens qui redirigent vers des sites web où des logiciels malveillants peuvent être téléchargés à l’insu de l’utilisateur.
Cette attaque de phishing utilise un format d’e-mail identique à celui des messages authentiques. Les e-mails de phishing utilisent un format bien défini, contenant des logos et des liens qui les rendent identiques aux messages légitimes demandant une collaboration sur un projet.
Utilisation des messages non sollicités pour lancer une attaque de phishing
Nous recevons souvent des messages non sollicités, communément appelés spams. Il peut s’agir d’e-mails que nous n’avons pas demandés, de messages provenant de personnes ou d’entreprises que nous ne connaissons pas et qui essaient de nous vendre des produits qui ne nous intéressent pas.
Cependant, la plupart des spams ne sont pas seulement des messages indésirables, mais ils peuvent également être dangereux. Certains contiennent des pièces jointes ou des liens malveillants, ainsi que des contenus nuisibles.
Les types d’e-mails malveillants les plus courants sont ceux utilisés pour le phishing. Ce terme est utilisé lorsqu’un escroc envoie un message électronique qui semble légitime pour inciter ses victimes à faire quelque chose de risqué, comme divulguer leurs informations personnelles sensibles. Le terme phishing fait référence à l’orthographe alternative “fishing” qui signifie “pêcher”. Il tire son nom de la métaphore d’un pêcheur, ou d’un cybercriminel, lançant sa ligne pour inciter quelqu’un à mordre à l’hameçon grâce à un leurre crédible au premier coup d’œil.
Cette fois, le leurre utilisé est un document SharePoint
Cette attaque de phishing SharePoint utilise un lien hypertexte vers un document SharePoint authentique. Ce document en lui-même ne présente pas de danger puisqu’il ne contient pas de logiciel malveillant.
Le fichier SharePoint informe l’utilisateur que le contenu recherché a été téléchargé sur OneDrive for Business et qu’un clic supplémentaire est nécessaire pour y accéder. Le fichier SharePoint contient un lien nommé “Accéder au document” avec le logo authentique de OneDrive for Business et les graphiques appropriés.
À première vue, le document ne semble pas malveillant, mais en vérifiant l’URL de destination du lien, il est possible de découvrir qu’il redirige l’utilisateur vers un site suspect.
C’est sur ce site web que se déroule la tentative de phishing.
Après avoir cliqué sur le lien, l’utilisateur est redirigé vers une fenêtre de connexion pour Office 365, vers laquelle les cybercriminels voulaient l’attirer depuis le début. L’utilisateur est ensuite invité à saisir ses informations de connexion Microsoft. Si l’utilisateur saisit ses informations d’identification, celles-ci seront transmises aux cybercriminels à l’origine de la campagne de phishing.
Il est peu probable que l’utilisateur se rende compte qu’il a été victime d’un phishing réussi, car après avoir saisi ses identifiants, il sera redirigé vers un véritable site de Microsoft Office. Dans certains cas de phishing, les cybercriminels préfèrent présenter un faux message d’erreur, supposant peut-être que leurs victimes ont essayé d’autres comptes et espérant ainsi obtenir d’autres mots de passe.
Les entreprises sont la principale cible
Cette forme de phishing cible principalement les entreprises, car les utilisateurs professionnels d’Office ont souvent l’habitude de collaborer en utilisant SharePoint. Ils sont donc plus enclins à répondre aux e-mails des pirates informatiques.
Avant 2011, la plateforme de collaboration basée sur le site web SharePoint était principalement utilisée par les moyennes et grandes entreprises en raison de son coût élevé. Cependant, lorsque Microsoft a regroupé SharePoint et sa version en ligne (SharePoint Online) dans la licence Office 365, cela a changé. La plateforme est devenue accessible aux petites entreprises.
SharePoint fonctionne comme un espace de stockage et de récupération de données personnalisable et flexible. Il agit comme un intranet, permettant au personnel de télécharger et d’accéder à des fichiers, des données et bien d’autres contenus. Les équipes de direction peuvent créer des flux d’information pour partager des informations à l’échelle de l’entreprise, ou personnaliser des portails pour chaque service. Les contenus peuvent être partagés avec d’autres collaborateurs et sont accessibles via des URL, plutôt que par des solutions basées sur des dossiers.
Lorsqu’il est utilisé avec Office 365, SharePoint permet de construire des solutions abordables et riches en fonctionnalités pour la gestion des documents, des contrats et pour la collaboration interne et externe, quel que soit la taille de l’organisation et le secteur dans lequel elle évolue.
L’accès à un compte d’entreprise Office 365 est très lucratif pour les cybercriminels, car cela leur permet d’accéder aux comptes de messagerie et de les utiliser lors de futures campagnes de phishing. Les informations qu’ils obtiennent leur permettent également d’accéder aux données stockées dans ces comptes de messagerie et à d’autres données sensibles.
Microsoft n’a pas anticipé cette attaque de phishing SharePoint
C’est ce qui rend cette attaque particulièrement dangereuse.
Même si Microsoft analyse les e-mails à la recherche de liens et de pièces jointes suspects, les victimes de cette arnaque ne pourraient pas considérer le lien vers leur propre SharePoint Online comme étant malveillant.
De plus, Microsoft ne scanne pas les fichiers hébergés sur SharePoint. Les pirates informatiques ont donc un moyen facile d’utiliser la plateforme même pour tromper les utilisateurs et obtenir leurs informations de connexion.
Pour se protéger contre les menaces en ligne, le logiciel Office 365 analyse les liens dans le corps des e-mails pour détecter les liens et domaines suspects. Cependant, il ne vérifie pas les liens dans les fichiers hébergés sur ses autres services, comme SharePoint. Comme le lien intégré au message malveillant mène à un document SharePoint réel, Microsoft ne peut donc pas le détecter comme une menace. Cela représente une vulnérabilité évidente que les cybercriminels exploitent pour propager leurs attaques de phishing.
Même si Office 365 analysait les liens dans les fichiers, il ferait face à un autre défi : il ne peut pas bloquer une URL suspecte sans bloquer l’accès à tous les fichiers SharePoint. Si l’URL complète du fichier SharePoint est bloquée, les escrocs pourraient facilement télécharger un nouveau fichier contenant un contenu similaire sur SharePoint et créer une nouvelle URL malveillante.
Méfiez-vous des autres attaques de phishing utilisant des outils de collaboration en ligne
Les attaques de phishing ciblant SharePoint, les attaques de phishing via Google Docs et les campagnes similaires d’usurpation de Dropbox sont courantes et très efficaces. En fait, les adresses e-mail des utilisateurs professionnels sont facilement accessibles sur des sites en ligne tels que LinkedIn. Les pirates peuvent également les trouver dans des listes d’adresses e-mail professionnelles achetées sur le marché noir du web et sur des forums de piratage.
Malgré quelques signes révélateurs permettant de détecter un e-mail malveillant, de nombreux utilisateurs tombent encore dans des escroqueries évidentes et en paient le prix fort. Voici deux exemples d’escroqueries de phishing utilisant Dropbox et Google Docs.
En 2014, des cybercriminels ont envoyé des e-mails contenant des liens malveillants pointant vers un fichier ZIP sur Dropbox. Les messages contenaient un économiseur d’écran qui était en réalité un ransomware similaire à CryptoLocker. Le but des escrocs était d’inciter les destinataires à cliquer sur le lien en dissimulant le message pour qu’il semble lié à un rapport, une facture ou un fax.
Lorsque les victimes ont cliqué sur le lien vers le fichier compressé, puis sur le fichier économiseur d’écran, elles ont exécuté le ransomware, qui a ensuite chiffré les fichiers sur leurs disques durs. Une fois exécuté, le logiciel malveillant a lancé une page sur leur navigateur par défaut et a exigé une rançon de 500 dollars en bitcoins pour déchiffrer leurs fichiers. Ce montant doublait si les victimes ne payaient pas dans un délai imparti.
Au final, les escrocs ont récolté au moins 62 000 dollars grâce aux transactions effectuées sur le réseau Tor.
En 2017, une nouvelle escroquerie sophistiquée utilisant Google Docs est apparue. Elle incitait les utilisateurs à divulguer leurs identifiants de connexion en ouvrant un faux document Google.
Google a rapidement mis fin à l’escroquerie en quelques heures. Cependant, pendant ce court laps de temps, la campagne de phishing a déjà causé beaucoup de dommages.
Selon un rapport d’ABC News, environ 2 500 employés de l’État du Minnesota ont reçu l’e-mail de phishing.
Le coût de la gestion de cette attaque était estimé à environ 90 000 dollars, en raison du temps perdu par les employés pour traiter l’attaque au lieu de se consacrer à leurs tâches quotidiennes.
Ces deux exemples illustrent l’importance de rester constamment vigilant lorsqu’on clique sur un lien inconnu.
En général, ces attaques tirent parti de la familiarité des utilisateurs avec ces services de collaboration, de la confiance qu’ils accordent aux marques, du manque de sensibilisation à la sécurité et des mauvaises habitudes des employés qui ne prennent pas le temps de réfléchir avant de cliquer sur un lien.
Comment se protéger contre une attaque de phishing ?
Les professionnels de la sécurité peuvent aider leurs organisations à se défendre contre les attaques de phishing, y compris celles utilisant SharePoint, en adoptant une approche de sécurité des e-mails à plusieurs niveaux.
Même si dans de nombreux cas de phishing, les e-mails malveillants sont conçus pour être visuellement identiques aux e-mails professionnels légitimes, la sensibilisation à la sécurité peut être très efficace pour inciter les employés à réfléchir avant d’agir. Ainsi, ils seront en mesure de détecter les signes révélateurs de l’arnaque.
Il est essentiel d’apprendre aux employés à rester vigilants en remettant en question tout e-mail inconnu, en particulier s’il contient des liens vers des sites ou des ressources externes.
Votre stratégie de sécurité devrait également inclure des simulations de phishing pour évaluer le niveau de connaissance de vos employés en matière d’attaques par e-mail et leur offrir une formation continue basée sur leur rôle pour les familiariser avec les menaces numériques émergentes. Il est important d’identifier les personnes vulnérables avant que les cybercriminels ne le fassent.
Utilisez des solutions technologiques qui peuvent empêcher la transmission de messages malveillants et un filtre web capable de bloquer ce type d’attaque en empêchant l’accès à des URL suspectes.
Une solution efficace pour les entreprises est l’adoption d’un système de filtrage web utilisant l’inspection SSL pour examiner tout le trafic web chiffré, ainsi que les services cloud, afin de détecter les tentatives de vol de données, les attaques de logiciels malveillants et d’autres menaces avancées.
La solution de sécurité WebTitan de TitanHQ, par exemple, peut décrypter les sites web, inspecter leur contenu, puis les rechiffrer. De cette manière, les sites web malveillants ne peuvent plus se cacher derrière un proxy et peuvent être facilement identifiés et bloqués. De plus, WebTitan intègre plusieurs flux intelligents de menaces pour garantir que dès qu’une URL de phishing est détectée, tous les utilisateurs de la solution bénéficient d’une protection immédiate. Il offre également une protection contre les URL de phishing émergentes.
Si vous combinez WebTitan avec une solution de filtrage de spam avancée comme SpamTitan, vous pouvez bloquer les e-mails de phishing à la source et vous assurer qu’ils n’atteignent pas les boîtes de réception de vos employés. Cela permettra de protéger efficacement votre entreprise contre les attaques de phishing.
