Décortiquons une cyberattaque de phishing avancée ...

Table des matières
Au commencement
La réception d’un Email à 14h36 … l’heure à son importance … propre, bien rédigé …

Rendons nous sur le site Web indiqué dans la signature

Les conclusions tombent :
👉 La société existe
👉 L’adresse postale de l’agence est la bonne
👉 Le site Web est légitime
👉 La charte graphique de l’Email est celle du site Web
👉 Le domaine associé à l’expéditeur de l’Email est le bon
Ceci étant, il est encore possible que l’Email soit un faux habilement forgé pour réussir à tromper mon antispam … 🤔
Analysons l’entête

Deux points importants :
👉 Le mail est totalement valide et est expédié depuis le domaine de la société, de plus sa signature numérique (DKIM) est valide ce qui lui donne de très fortes probabilités de passer haut la main les tests des moteurs antispam
👉 L’expédition est réalisée depuis un serveur Office 365
Nous pouvons conclure que la société a été compromise, des criminels exploitent les comptes de l’entreprise pour envoyer des mails de phishing.
Poursuivons l’expérience …
Que se passe-t-il lorsque nous cliquons sur le lien contenu dans l’Email ?
Nous arrivons sur un authentique Sharepoint avec un OneNote partagé en lecture seule :

J’ai mis en évidence sur cette page le nom de l’espace qui est celui que nous avons trouvé dans l’entête de l’Email.
Les criminels utilisent le Sharepoint de l’entreprise pour rediriger les victimes vers un nouveau site.

Ce lien nous conduit vers une autre page avec la charte de Microsoft mais il s’agit cette fois d’une authentique copie.
Le piège se referme avec pour objectif le vol de compte Microsoft Office 365.



Mais à quoi correspond ce site ?
Si nous nous rendons à l’adresse racine du site …
On constate qu’une seconde entreprise est victime.

Résumons l’attaque
Un petit visuel pour résumer les 3 temps de l’attaque

Réception d’un mail piégé
Redirection vers un espace Microsoft “légitime”
Redirection vers une copie d’une page d’authentification Microsoft
Mais pourquoi ne pas avoir redirigé directement sur le second site ?
La plupart des antispam embarquent un moteur qui analyse l’ensemble des liens contenus dans l’Email, grâce à cette méthode le premier rebond est nécessairement considéré comme légitime …
Une dernière réflexion …

L’Email a été expédié un vendredi après-midi, il est donc probable que le destinataire consulte le contenu lorsque l’Entreprise sera fermée.
Quelques pistes pour réduire le risque
👉 S’interroger sur la légitimité de l’Email …
👉 Si vous connaissez l’entreprise mais qu’elle n’a pas de raison de vous adresser ce type de correspondance, privilégiez un échange téléphonique car il est fort à parier que les criminels auront mis en place une règle de redirection pour jeter les éventuelles réponses.
👉 Activer le second facteur d’authentification sur tous vos comptes et utiliser des mots de passe différents par fournisseurs de service.