29.11.2022 - Atteignant 647, le nombre de signalements effectués au NCSC la semaine dernière a diminué par rapport à la semaine précédente. Un cas d'hameçonnage au moyen de Microsoft Office 365 s'est révélé particulièrement intéressant. Les auteurs de cette tentative d'escroquerie ciblée ne se sont pas contentés d'utiliser une adresse Internet très semblable à celle de l'entreprise visée pour obtenir un mot de passe, mais ont également cherché à accéder à d'autres informations précieuses.
Nouvelle méthode d'hameçonnage ciblée, au moyen de Microsoft Office 365
Les cybercriminels restent friands de l'interception de données de connexion à Office 365. En effet, celles-ci leur permettent d'accéder non seulement aux données sauvegardées sur le cloud de Microsoft, mais aussi au compte de messagerie lui-même. L'accès à un compte de messagerie est particulièrement précieux pour les cybercriminels, car il offre la possibilité de réinitialiser les données de connexion à d'autres services, telles des boutiques en ligne. Il n'est donc pas surprenant qu'ils affinent les méthodes d'hameçonnage visant à obtenir des codes d'accès à Office 365, comme l'illustre le cas décrit ci-après.
Une entreprise a signalé au NCSC un courriel d'hameçonnage contenant un lien constitué du nom de l'entreprise (ACME [nom fictif]), de la particule «-ch» et de l'extension «.click». Cette adresse n'éveille a priori pas de soupçon, étant très proche de l'originale: www.acme-ch.click. Le site Internet falsifié affiche, lui, une page de connexion à Office 365.
Jusqu'à présent, les tentatives d'hameçonnage au moyen d'Office 365 faisaient réapparaître la page de connexion une fois les données saisies sur le site falsifié, révélant ainsi l'escroquerie à la majorité des victimes. Il en va autrement du cas nouvellement signalé: lorsque la victime a saisi ses données, une fenêtre s'affiche et indique que le compte a été bloqué et que le mot de passe doit être réinitialisé.
Pour réinitialiser le mot de passe, la victime a deux possibilités. La première consiste à demander un lien de réinitialisation en saisissant une autre adresse électronique à laquelle le lien doit être envoyé. Comme il s'agit d'une page Internet falsifiée, il va de soi qu'aucun courriel permettant de réinitialiser le mot de passe n'est envoyé à l'adresse donnée, bien au contraire: par ce moyen, les cybercriminels accèdent en réalité à des informations concernant d'autres comptes de messagerie de la victime.
La seconde prétendue possibilité de réinitialisation ne sert elle aussi qu'à fournir des informations supplémentaires aux cybercriminels, en l'occurrence le nom de jeune fille de la mère de la victime. La confirmation de l'identité qui est demandée ne fonctionne pas, et les cybercriminels incitent la victime à faire une nouvelle tentative de connexion.
Les cybercriminels utilisant les fonctionnalités usuelles de la page de connexion à Microsoft Office 365, leurs victimes se méfient moins et livrent donc des informations supplémentaires, telles que d'autres adresses électroniques. En combinant ces données avec d'éventuelles autres informations publiques, issues par exemple des réseaux sociaux, les cybercriminels peuvent s'attaquer aux autres comptes en ligne de leur victime, ou lancer des attaques au nom de celle-ci.
Recommandations:
- Vérifiez toujours l'adresse Internet (URL) avant de saisir un mot de passe sur la page qui s'affiche à l'écran.
- Méfiez-vous des courriels qui vous demandent d'effectuer une action telle que cliquer sur un lien ou ouvrir une pièce jointe.
- Ne communiquez jamais de données personnelles dans un formulaire que vous avez ouvert en cliquant sur un lien reçu par courriel.
- Installez si possible une authentification à deux facteurs. Celle-ci offre une protection supplémentaire pour éviter que votre compte ne soit piraté.
- Rappelez-vous qu'il est aisé de falsifier le nom de l'expéditeur d'un courriel.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 29.11.2022
