Office 365: Le phishing par consentement, un fléau pour les entreprises

C’est mathématique et ça devait arriver, le travail a distance a plus que favorisé les attaques informatiques et plus précisément concernant le logiciel Office 365 qui connaît de plus en plus d’engouement en cette période de pandémie.

Nous vivons une période de transformation sociétale qui comprend ses avantages et ses inconvénients et il faudra un certain temps avant que les entreprises qui subissent ces changements puissent être à même de créer les parades nécessaires contre les attaques informatiques de toutes sortes menés contre leurs outils, le phishing étant l’une des armes préférées des  hackers.

Contrairement aux attaques d’hameçonnage traditionnelles où les hackers tentent de dérober les informations d’identification des utilisateurs, le phishing par consentement est une méthode qui consiste à inciter un utilisateur à autoriser les accès d’un PC ou d’un smartphone à une application “vérolée”afin que cette dernière puisse ouvrir la voie à la prise de contrôle de votre compte Office 365 les pirates.

Une fois le hacker aux commandes de  votre compte Office 365, il peut alors ce qui lui plaît en accédant à vos messages, contacts, notes, et autres informations sensibles stockées dans vos comptes SharePoint ou OneDrive.

Comment procèdent les cyber-criminels pour attaquer?

La principale méthode des hackers consiste à utiliser une version malveillante d’Office 365 OAuth qui va retranscrire une invite de consentement authentique qui vous demandera d’accorder à l’application malveillante des autorisations sur ses données

Une fois son programme prêt à vous induire en erreur, le hacker enverra alors un lien à sa victime. Si l’utilisateur clique le lien, une véritable invite de consentement lui sera demandée afin d’accorder l’accès au programme malveillant à toutes ses données sensibles.

L’application malveillante reçoit alors un jeton d’autorisation qu’elle échange contre un jeton d’accès qui est par la suite utilisé pour effectuer des appels d’API au nom de la victime.

Les emails de “spear phishing” envoyés en interne peuvent par exemple permettre aux hackers ayant réussi une attaque de se faire passer pour d’autres salariés de l’entreprise afin de tenter de faire approuver des virements bancaires ou mener d’autres types d’opérations financières.

Microsoft conseille aux entreprises de former leurs salariés aux risques d’attaques au phishing par consentement en mettant en place une formation continue, afin d’adapter et renouveler les connaissances des utilisateurs au sujet de la sécurité de leurs outils.

A propos Technoguide

Voir aussi

Un employé de Twitter aurait servi d’intermédiaire au cours de l’attaque massive subie par la plateforme

D’après des captures d’écran ayant fuité, il apparaît évident qu’un employé de Twitter serait à …

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Défiler vers le haut