Des pirates sont parvenus à tromper la double authentification de Microsoft pour accéder au service de messagerie du géant américain. Un hameçonnage massif qui dure depuis juin ciblant des personnes et des entreprises spécifiques.
Une campagne d’hameçonnage massive sur Microsoft
La campagne de piratage a été rendue publique malgré qu’elle soit toujours en cours. Le risque de piratage par d'autres hackers est donc réel. La procédure est ainsi décrite par Zscaler en détail.
Le piratage se concentre sur l’annulation de la double authentification en utilisant une technique d’attaque Adversary-in-the-middle. Cela consiste à s’interposer entre le serveur et le client pour détourner les données et rediriger vers le site de phishing.
Les informations ne sont pas parfaitement claires sur l’attaque en elle-même, il s'agirait plutôt d’hameçonnage via un site malveillant. On peut le voir comme un site qui se déguise pour vous faire croire qu’il est réel. La technique est très répandue, mais semble bien plus évoluer dans cette situation. Microsoft avait d’ailleurs cette technique dans son blog en juillet 2022.
Tout le monde est dans le collimateur
La force de cette attaque est que tout le monde peut en être victime. Même une personne prudente, qui ne s’y attend pas, peut se faire avoir. Il est indispensable de rester très vigilant, surtout si vous faites partie d’une grande entreprise. Selon les chercheurs, les pirates s’attaquent principalement aux professionnels qui utilisent Outlook et Exchange.
L’attaque commence par un simple e-mail ciblé qui vous demande de cliquer sur un lien. Ce mail de façade peut imiter de nombreux types de services, mais est très bien fait. Grâce à cela, le pirate peut créer un e-mail encore plus fort pour attaquer une plus grande quantité de personnes dans l’entreprise.
Dans son rapport, on retrouve une liste de noms de domaine souvent usurpés par ce hameçonnage de masse. On retrouve par exemple la Federal Credit Union qui s’est fait attaquer avec les mails de directeurs généraux. Cela implique que les pirates sont parvenus à compromettre des adresses importantes, pour avoir plus de poids lors de l’attaque généralisée.
Pour ne pas se faire démasquer par Microsoft, les hackers passent par de nombreuses redirections. Les URLs sont régulièrement changées pour ne pas se faire détecter. Pour cloner une page officielle, les pirates utilisent une copie du code source du site, ce qui est légal, lorsqu’il ne s’agit pas de l’utiliser à des fins pécuniaires.
La France semble pour le moment être épargnée par l’attaque. On retrouve en revanche une plus grande quantité de piratage aux États-Unis, au Royaume-Uni, en Nouvelle-Zélande et en Australie. Les secteurs impactés sont souvent très spécialisés avec la FinTech en tête. On retrouve aussi des banques, des assurances et des fournisseurs d'énergie.