Décortiquons une cyberattaque de phishing avancée ...

Table des matières

Au commencement

La réception d’un Email à 14h36 … l’heure à son importance … propre, bien rédigé …

alt

Rendons nous sur le site Web indiqué dans la signature

alt

Les conclusions tombent :

👉 La société existe

👉 L’adresse postale de l’agence est la bonne

👉 Le site Web est légitime

👉 La charte graphique de l’Email est celle du site Web

👉 Le domaine associé à l’expéditeur de l’Email est le bon

Ceci étant, il est encore possible que l’Email soit un faux habilement forgé pour réussir à tromper mon antispam … 🤔

 

Analysons l’entête

alt

Deux points importants :

👉 Le mail est totalement valide et est expédié depuis le domaine de la société, de plus sa signature numérique (DKIM) est valide ce qui lui donne de très fortes probabilités de passer haut la main les tests des moteurs antispam

👉 L’expédition est réalisée depuis un serveur Office 365

 

Nous pouvons conclure que la société a été compromise, des criminels exploitent les comptes de l’entreprise pour envoyer des mails de phishing.

 

Poursuivons l’expérience …

Que se passe-t-il lorsque nous cliquons sur le lien contenu dans l’Email ?

Attention : je me suis permis de le faire depuis un environnement bac à sable totalement cloisonné de mon réseau, on ne clique JAMAIS JAMAIS JAMAIS sur les liens suspicieux !!!

Nous arrivons sur un authentique Sharepoint avec un OneNote partagé en lecture seule :

Sharepoint

J’ai mis en évidence sur cette page le nom de l’espace qui est celui que nous avons trouvé dans l’entête de l’Email.

Les criminels utilisent le Sharepoint de l’entreprise pour rediriger les victimes vers un nouveau site.

Sharepoint

Ce lien nous conduit vers une autre page avec la charte de Microsoft mais il s’agit cette fois d’une authentique copie.

Le piège se referme avec pour objectif le vol de compte Microsoft Office 365.

step01
step02
step03

Mais à quoi correspond ce site ?

Si nous nous rendons à l’adresse racine du site …

On constate qu’une seconde entreprise est victime.

synoptique

Résumons l’attaque

Un petit visuel pour résumer les 3 temps de l’attaque

synoptique
  1. Réception d’un mail piégé

  2. Redirection vers un espace Microsoft “légitime”

  3. Redirection vers une copie d’une page d’authentification Microsoft

Mais pourquoi ne pas avoir redirigé directement sur le second site ?

La plupart des antispam embarquent un moteur qui analyse l’ensemble des liens contenus dans l’Email, grâce à cette méthode le premier rebond est nécessairement considéré comme légitime …

Une dernière réflexion …

synoptique

L’Email a été expédié un vendredi après-midi, il est donc probable que le destinataire consulte le contenu lorsque l’Entreprise sera fermée.

 

 

Quelques pistes pour réduire le risque

 

👉 S’interroger sur la légitimité de l’Email …

👉 Si vous connaissez l’entreprise mais qu’elle n’a pas de raison de vous adresser ce type de correspondance, privilégiez un échange téléphonique car il est fort à parier que les criminels auront mis en place une règle de redirection pour jeter les éventuelles réponses.

👉 Activer le second facteur d’authentification sur tous vos comptes et utiliser des mots de passe différents par fournisseurs de service.

 

Related