Microsoft met en garde les utilisateurs d'Office 365 : une campagne de phishing de grande ampleur cherche à s'emparer de leurs identifiants (mots de passe et noms d'utilisateur). Pour tromper les internautes, les pirates glissent des liens de redirection dans des mails en apparence inoffensive. Ces liens relaient les victimes sur un site frauduleux conçu pour voler leurs identifiants. 

Dans un billet publié ce 26 aout 2021, l'équipe de Microsoft 365 Defender Threat Intelligence détaille le fonctionnement d'une nouvelle campagne de phishing. Dans un premier temps, les utilisateurs d'Office 365 vont recevoir un courriel électronique. Dans le mail, les pirates se font passer pour Microsoft et d'autres “outils et des services de productivité bien connus”. Microsoft cite notamment la solution de sécurité Sophos.

Le courriel frauduleux comprend une série de liens. Tous ces liens sont conçus pour relayer les victimes sur un site web factice imitant l'interface d'Office 365 ou d'un autre service. La page réclame le mot de passe et le nom d'utilisateur des internautes. Les données sont alors récupérées et transmises sur un serveur à distance.

Microsoft a découvert 350 sites de phishing liés à l'attaque

Pour rediriger les victimes sur le site de leur choix, les pirates s'appuient sur une faille de sécurité bien connue des experts : open redirect. Cette brèche empêche un navigateur web d'authentifier correctement les URL. De facto, les pirates peuvent relayer les utilisateurs d'Office 365 sur une page URL frauduleuse sans qu'un avertissement ne sois affiché.

“Les attaquants pourraient abuser des redirections ouvertes pour ajouter un lien vers une URL malveillante dans un domaine de confiance. De tels abus peuvent empêcher les utilisateurs et les solutions de sécurité de reconnaître rapidement une intention malveillante”, souligne l'équipe de Microsoft 365 Defender Threat Intelligence. Microsoft a identifié 350 noms de domaine dédiés à la campagne de phishing.

Avant de cliquer sur un lien trouvé dans un courriel, on vous conseille généralement de le survoler avec votre souris. De cette manière, vous pouvez consulter en un coup d'oeil l'adresse URL. Dans ce cas-ci, les pirates sont parvenus à contourner les systèmes mis en place. “Les utilisateurs voient un nom de domaine légitime qui est probablement associé à une entreprise qu'ils connaissent et en qui ils ont confiance”, poursuit l'éditeur de logiciels. De son côté, Google rappelle que l'aperçu d'un lien survolé “n'est pas un indicateur de sécurité fiable”.

Lire aussi : une nouvelle arnaque au colis demande de payer des frais de reprogrammation, prudence

Pour endormir la méfiance des victimes, les hackers ajoutent aussi un reCAPTCHA à leurs redirections. Ce système de détection permet aux sites web de vérifier qu'un internaute n'est pas un robot. Ces éléments permettent d'éviter que l'internaute ne se doute que le piège est en train de se refermer sur lui.