Hameçonnage ciblé

La newsletter d'aujourd'hui est un récapitulatif des tendances courantes ou émergentes observées dans le paysage des attaques de phishing pour l'année 2023. Commençons par aborder l'éléphant dans la pièce : une fois de plus, l'utilisation de liens trompeurs pour usurper l'identité d'une entreprise légitime et voler les informations des utilisateurs a été la méthode numéro un des attaques de phishing selon Cloudflare (Présentation du rapport 2023 de Cloudflare sur les menaces de phishing). Cette méthode de phishing a été utilisée dans plus de 25 % des emails de phishing. Et elle fonctionne toujours.

Mais quelles étaient les nouvelles méthodes utilisées par les attaquants pour convaincre les utilisateurs de cliquer sur ces liens ?

Codes QR

Les codes QR sont omniprésents de nos jours. On peut les trouver partout, des tables de nos restaurants préférés, popularisés pendant la pandémie comme un moyen de partager le menu avec moins de contact, aux murs des villes où nous vivons. De plus, un nombre croissant d’entreprises légitimes les utilisent également pour diverses raisons.

Techniquement, ces petites variantes de codes-barres permettent d’envoyer l’utilisateur d’un smartphone vers une ressource distante en un clin d’œil. Pas besoin de lancer votre navigateur web, de taper une URL dans la petite barre avec vos doigts gelés et engourdis en utilisant un clavier virtuel sujet aux erreurs dans le vent froid de l’hiver, il suffit de scanner le code avec votre appareil photo et d’accéder au lien.

Mais cette méthode facile à utiliser est également exploitée par les attaquants pour tromper les utilisateurs. Elle a même son propre nom : le “Quishing”. Au nom de l’équipe CSIRT, nous avons récemment constaté une augmentation des rapports d’emails de phishing contenant un code QR.

Cette technique est particulièrement efficace pour dissimuler le lien malveillant qui serait autrement signalé comme malveillant et bloqué par votre passerelle de sécurité des emails. De plus, utiliser le smartphone de l’utilisateur pour accéder au lien au lieu de son poste de travail est très efficace pour rester indétecté par la protection d’accès internet de l’entreprise.

Il est donc important pour les utilisateurs d’appliquer les meilleures pratiques habituelles pour chaque email contenant un code QR : si l’email provient d’une source non fiable, ne scannez jamais le code QR - vous ne cliqueriez jamais sur un lien URL dans un email non sollicité, n’est-ce pas ? Signalez l’email à l’équipe dédiée de votre entreprise si vous avez des doutes sur la légitimité de l’email.

Messages Teams

Teams est désormais largement répandu dans les entreprises et est l'application de conférence de référence aec plus de 30 millions d'utilisateurs mensuels en 2023 (Rapport annuel Microsoft 2023). En tant que tel, c’est un point d’entrée idéal pour les attaquants, et au centre du conte de fées de Midnight Blizzard :

▪️ Midnight Blizzard utilise l'ingénierie sociale ciblée sur Microsoft Teams | Blog sur la sécurité Microsoft

Il était une fois, un méchant surnommé Midnight Blizzard (Comment Microsoft nomme les acteurs de la menace) a décidé de cibler les gouvernements, les entités diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques principalement aux États-Unis et en Europe. Pour ce faire, le méchant avait d’abord compromis les locataires Microsoft 365 de petites entreprises et renommé les domaines pour rester indétecté. Ces domaines renommés ont ensuite été utilisés pour obtenir des identifiants valides. Mais certaines entreprises utilisaient la MFA (authentification multi-facteurs) pour protéger leurs utilisateurs, en particulier une forme de MFA qui demande à l’utilisateur d’entrer un code dans leur application d’authentification chaque fois qu’ils veulent se connecter.

Alors, le méchant devait trouver une méthode pour obtenir le précieux code MFA, et il a eu cette idée : d’abord, envoyer un message Teams en se faisant passer pour un membre de l’équipe de support technique ou de sécurité à l’utilisateur bien protégé, en demandant d’accepter une demande de chat. Car oui, il est possible de nos jours de contacter des personnes d’autres organisations avec Teams. Ensuite, une fois que l’utilisateur ciblé a accepté la demande, le méchant tente de se connecter à nouveau au compte de la victime, et en recevant la demande d’entrer le code, il demande simplement à la victime via Teams de l’entrer elle-même dans son application Microsoft Authenticator sur son téléphone. Et voilà ! Le méchant a maintenant accès au compte de l’utilisateur compromis même s’il utilise MFA.

Une autre technique, cette fois utilisée par Storm-0234 (Storm-0324, le distributeur de logiciels malveillants, facilite l'accès aux rançongiciels | Blog sur la sécurité Microsoft), consiste à envoyer un message Teams à la victime en utilisant TeamPhisher, ce qui permet de joindre un document aux messages envoyés aux locataires externes. Cela a été utilisé pour envoyer un fichier hébergé sur SharePoint malveillant dans le but de voler les identifiants de la victime.

Sans aucun doute, les attaquants trouveront de nouvelles façons d'exploiter Teams à des fins malveillantes dans un avenir proche.

Conclusion

Comme toujours, vous devez être extrêmement prudent avec les liens provenant d’une source inconnue ou non fiable, cela reste vrai pour les codes QR et les invitations de chat Teams.

Mais rappelez-vous, si vous avez besoin d’aide pour un incident, scannez le code QR suivant pour nous contacter ainsi que notre équipe de réponse aux incidents de sécurité informatique (c’est sûr, promis !).