Une nouvelle campagne de phishing vise actuellement les professionnels qui utilisent Microsoft 365. Les pirates envoient de faux mails qui indiquent l'expiration imminente de votre mot de passe. Bien entendu, tout est faux.

Il ne passe pas une semaine sans une nouvelle campagne de phishing. Après cette arnaque qui visait les abonnés Orange ou encore bien de ces faux SMS exigeant le paiement rapide d'une amende, c'est au tour des utilisateurs de Microsoft 365 d'être pris pour cible.

Comme le rapportent nos confrères de Numerama, une nouvelle campagne d'hameçonnage vise actuellement de nombreuses entreprises françaises. Pour cette opération, les pirates font dans la finesse puisqu'ils envoient de faux mails avec des adresses personnalisées à chaque cible. L'idée étant de toucher toute la hiérarchie, du secrétaire au cadre jusqu'au PDG.

Comment se présente cette campagne ? Les utilisateurs visés reçoivent un faux mail de la part de Microsoft indiquant que leur mot de passe Microsoft 365 est sur le point d'expirer. Comme d'habitude, l'interface et l'esthétique du service sont reproduites à la perfection (logo, police, etc.).

Une faille YouTube pour rester sous les radars

Bien entendu, un lien est proposé pour vous aider à changer de mot de passe ou à conserver l'ancien. Jusque là, rien de neuf sous le soleil. C'est ici que cette campagne de phishing diffère un peu des autres.

Pour éviter d'être repéré par les outils de détection, les pirates ont exploité une faille de sécurité présente dans YouTube. Pour faire simple, ils utilisent le nom de domaine de la plateforme vidéo comme relais entre le faux mail et la page de phishing.

“Cette technique permet d'intégrer un hyperlien frauduleux et potentiellement repérable par le filtre anti-spam du mail à un URL YouTube légitime”, explique à nos confrères Antoine Morel, expert en cybersécurité chez Vade.

Ils ont même ajouté un captcha !

Une fois que la victime a cliqué sur le lien, elle est redirigée sur une page de connexion. Elle doit ici renseigner son adresse mail et son mot de passe. Histoire de parfaire le tableau, les pirates sont même allés jusqu'à intégrer un captcha de Cloudflare pour s'assurer que vous n'êtes pas un robot.

Vous l'aurez compris, c'est ici que le piège se referme. En cliquant sur Se Connecter ou Sign in, rien ne se passera. En revanche, votre mot de passe et votre adresse mail iront droit dans l'escarcelle des pirates, soit pour être vendues ou utilisées plus tard pour d'autres attaques.

Comme le rappellent les chercheurs de Vade (à l'origine de cette découverte), il faut toujours vérifier le nom de domaine d'un site avant d'entrer votre combo mail/mot de passe. En entreprise, prenez contact avec le service informatique de votre boite si ce mail est authentique ou non.