Kaspersky : les notifications SharePoint légitimes sont utilisées pour le phishing

Afin d’extraire autant d’informations d’identification d’entreprise que possible, les cybercriminels cachent désormais les liens de phishing dans des fichiers sur un serveur SharePoint compromis et les distribuent à l’aide d’un mécanisme de notification natif.

Ces e-mails semblent convaincants et contournent donc le filtre anti-spam, surtout si l’entreprise utilise ce service. Récemment, les experts de Kaspersky ont observé plus de 1 600 alertes malveillantes avec des victimes potentielles en Europe, en Amérique du Nord et dans d’autres régions. Bien que l’ampleur des attaques ne soit pas encore massive, les entreprises doivent être conscientes du nouveau système et atténuer les risques à l’avance.

Les filtres anti-spam sont presque toujours capables de détecter les e-mails de phishing avec un lien dans le corps de l’e-mail, de sorte que les cybercriminels améliorent constamment leurs outils pour essayer de contourner ces solutions de sécurité. Désormais, non seulement ils masquent les liens de phishing sur un serveur SharePoint, comme avec les techniques connues auparavant, mais ils distribuent les liens à l’aide de notifications SharePoint légitimes. Une solution de sécurité Kaspersky a filtré plus de 1 600 alertes malveillantes entre décembre 2022 et février 2023. Des cybercriminels ont tenté d’extraire des données d’entreprises en Autriche, en France, en Inde, en Italie, au Japon, aux Pays-Bas, en Russie, à Singapour, en Corée du Sud, en Espagne et aux États-Unis.

Ce stratagème de notification légale ébranle la défense même de l’employé le plus féru de technologie. Les notifications sont envoyées au nom des services d’une entreprise réelle et n’éveillent pas les soupçons, surtout si l’entreprise utilise SharePoint dans le cadre de sa routine quotidienne.

Voici comment fonctionne le phishing via les notifications SharePoint

Un collègue reçoit une notification standard via SharePoint indiquant que quelqu’un a partagé un fichier OneNote avec lui. Cet e-mail est tout à fait légitime et peut contourner le filtre anti-spam plus facilement qu’un lien de phishing caché sur un serveur SharePoint.

L’employé suit le lien et ouvre le fichier OneNote, mais le corps de la note contient une autre « notification » avec une icône géante d’un type de fichier différent (par exemple PDF) et un lien de phishing typique.

Ce lien de phishing mène à un site Web de phishing qui imite la page de connexion de Microsoft OneDrive. Les cybercriminels l’utilisent pour voler les identifiants de connexion de divers comptes de messagerie, notamment Yahoo!, AOL, Outlook, Office 365 et autres.

Comment les entreprises peuvent atténuer les risques de ce type de phishing

Bien que ces lettres de phishing soient convaincantes, elles se démarquent du grand nombre de « drapeaux rouges » qui peuvent être expliqués aux employés.

« Au départ, le fichier est inconnu, tout comme l’expéditeur. Les collègues ne partagent généralement pas de documents sans introduction. Il existe d’autres « drapeaux rouges »: Un lien vers le fichier OneNote dans la notification et le fichier PDF apparaît soudainement sur le serveur. De plus, le lien pour télécharger le fichier mène à un site Web tiers dont l’URL n’est pas liée à l’organisation de la victime ou au serveur SharePoint. Le site Web de phishing imite la page de connexion de OneDrive, un autre service Microsoft qui n’a rien à voir avec SharePoint. Pour être prudent, il faut être prudent avec tous les e-mails suspects et faire attention à ces petites différences », explique Roman Dedenok, spécialiste de l’analyse des spams chez Kaspersky.

Pour rester protégé des diverses techniques de phishing ciblant les petites, moyennes et grandes entreprises, Kaspersky recommande de mettre en place les mesures suivantes :

  • Utilisez des solutions de sécurité avec des technologies anti-hameçonnage non seulement sur les serveurs de l’entreprise, mais sur tous les appareils de l’entreprise.
  • Offrez à vos employés une formation de base en cyberhygiène. Exécutez une attaque de phishing simulée pour vous assurer que les employés savent repérer ces types d’e-mails.
  • Si vous utilisez le service cloud Microsoft 365, n’oubliez pas de le protéger. Kaspersky Security for Microsoft Office 365 dispose d’une fonctionnalité anti-spam et anti-hameçonnage dédiée, ainsi que d’une protection pour les applications SharePoint, Teams et OneDrive pour des communications professionnelles sécurisées.

Mélissa Sault

"Géek de la musique. Pionnier du voyage sans vergogne. Entrepreneur passionné. Nerd d'Internet. Gourou professionnel du bacon."

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *