Les filtres anti-spam sont presque toujours capables de détecter les e-mails de phishing avec un lien dans le corps de l’e-mail, de sorte que les cybercriminels améliorent constamment leurs outils pour essayer de contourner ces solutions de sécurité.

Désormais, ils ne se contentent plus de masquer les liens de phishing sur un serveur SharePoint, comme dans État de l’artdistribuez plutôt les liens à l’aide de notifications SharePoint légitimes.

Une solution de sécurité Kaspersky a filtré plus de 1 600 alertes malveillantes entre décembre 2022 et février 2023. Des cybercriminels ont tenté d’extraire des données d’entreprises en Autriche, en France, en Inde, en Italie, au Japon, aux Pays-Bas, en Russie, à Singapour, en Corée du Sud, en Espagne et aux États-Unis.

Ce stratagème de notification légale ébranle la défense même de l’employé le plus féru de technologie. Les notifications sont envoyées au nom des services d’une entreprise réelle et n’éveillent pas les soupçons, surtout si l’entreprise utilise SharePoint dans le cadre de sa routine quotidienne.

Fonctionnement de l’hameçonnage SharePoint

Un collègue reçoit une notification standard via SharePoint indiquant que quelqu’un a partagé un fichier OneNote avec lui. Cet e-mail est tout à fait légitime et peut contourner le filtre anti-spam plus facilement qu’un lien de phishing caché sur un serveur SharePoint.

L’employé suit le lien et ouvre le fichier OneNote, mais le corps de la note contient une autre « notification » avec une icône géante d’un type de fichier différent (par exemple PDF) et un lien de phishing typique.

Ce lien de phishing mène à un site Web de phishing qui imite la page de connexion de Microsoft OneDrive. Les cybercriminels l’utilisent pour voler les identifiants de connexion de divers comptes de messagerie, notamment Yahoo!, AOL, Outlook, Office 365 et autres.

Comment les entreprises peuvent atténuer les risques

Bien que ces lettres de phishing soient convaincantes, elles se démarquent du grand nombre de « drapeaux rouges » qui peuvent être expliqués aux employés.

« Au départ, le fichier est inconnu, tout comme l’expéditeur. Les collègues ne partagent généralement pas de documents sans introduction. Il existe d’autres « drapeaux rouges »: Un lien vers le fichier OneNote dans la notification et le fichier PDF apparaît soudainement sur le serveur. De plus, le lien pour télécharger le fichier mène à un site Web tiers dont l’URL n’est pas liée à l’organisation de la victime ou au serveur SharePoint. Le site Web de phishing imite la page de connexion de OneDrive, un autre service Microsoft sans rapport avec SharePoint. Pour être prudent, il faut être prudent avec tous les e-mails suspects et faire attention à ces petites différences », explique Roman Dedenok, spécialiste de l’analyse des spams chez Kaspersky.

Pour rester protégé des diverses techniques de phishing ciblant les petites, moyennes et grandes entreprises, Kaspersky recommande de mettre en place les mesures suivantes :

• Utilisez des solutions de sécurité avec des technologies anti-hameçonnage non seulement sur les serveurs de l’entreprise, mais sur tous les appareils de l’entreprise.
• Offrez à vos employés une formation de base en cybersanté. Exécutez une attaque de phishing simulée pour vous assurer que les employés savent repérer ces types d’e-mails.
• Si vous utilisez le service cloud Microsoft 365, n’oubliez pas de le protéger.