Microsoft détecte une attaque par vol de session sur 10000 clients

Dans un article de blog posté il y a quelques jours, les équipes sécurité de Microsoft expliquent une attaque qu’ils ont détectée, mise au point par des hackers, et qui cherchait à compromettre l’identité de certains utilisateurs parmi leurs clients. Ils détaillent alors comment, au travers du produit Microsoft 365 Defender, la détection et la résolution de ce type d’attaque peut être effectuée.

Explication de l’attaque

🎯 Le but

Le but est simple : voler la session d’un utilisateur, afin de faire de l’usurpation d’identité (spoofing). En récupérant les informations de connexion de cet utilisateur et surtout sa session, le pirate aura un accès à sa boite email. Si la cible a été correctement choisie, il sera alors facile de réclamer de l’argent en envoyant un simple email à un service comptabilité d’un client par exemple, ou un service achat interne. Le tout vers un compte bancaire frauduleux évidemment. Ce type d’attaque est appelé « arnaque au président« .

🏴‍☠️ Le processus de l’attaque

Le processus de l’attaque se passe en trois temps :

  • Une attaque par phishing par email, prétextant être un email officiel de Microsoft (dans l’exemple sur le blog de Microsoft, le mail indiquait qu’un message vocal était consultable). Cela permet au pirate de rediriger la cible vers un site qu’il aura construit afin de faire une attaque Man in the Middle de l’authentification.
Schéma de l’attaque. Elle débute par un email de phishing, pour récupérer la session de l’utilisateur, afin que l’attaquant ait finalement accès à la boite email de la cible. Source : Microsoft
  • Ensuite, une fois que la cible a cliqué sur le lien de l’email, elle est redirigée sur un faux site d’authentification. Elle va insérer ses identifiants / mots de passe, ce qui permettra au pirate de récupérer les informations, et de les retransmettre. La double authentification ayant été gérée sur le site pirate, cela est transparent pour l’utilisateur, qui va remplir ses informations. Le pirate va alors récupérer le précieux cookie de session.
Schéma de l’attaque Man in the Middle qui permet de récupérer le token de session. Source : Microsoft
  • Une fois la session récupérée, le pirate peut se connecter à la boite email de l’utilisateur, créer les règles de redirection qu’il souhaite, et consulter les cibles potentielles. Si la cible le permet, il peut alors tenter de créer une conversation permettant de canaliser un flux financier, tout en restant peu visible.

Comment se protéger ?

🔐 Utilisation de la MFA et de l’authentification forte

Comme le signale Microsoft dans son article source, la double authentification reste un excellent moyen de se protéger des attaques par phishing, même si dans ce cas précis elle a été mise à mal. Vous pouvez consulter cet article sur les différents moyens d’authentifications qui s’offrent à vous, et leurs sécurités.

🔍 Formation et vigilance, le nerf de la guerre

La sensibilisation à la sécurité reste l’élément essentiel de protection dans les entreprises comme dans le quotidien. Ce type d’attaque peut être évité en évitant de cliquer sur les liens dans les emails, en analysant les liens et leurs noms de domaine, etc. Pensez à régulièrement vous tenir informé en matière de sécurité, et à sensibiliser les personnes et les équipes autour de vous !

🛠 Utilisez les bons outils

En l’occurrence, Microsoft publie ce billet en montrant que les outils de protection tels que Microsoft 365 Defender permettent la détection et la protection de ce type d’attaque.

L’attaque se base aussi principalement sur le phishing. Comme dit dans l’article source de Microsoft : « According to the 2021 Microsoft Digital Defense Report, reports of phishing attacks doubled in 2020, and phishing is the most common type of malicious email observed in our threat signals« . L’utilisation d’antispams correctement configurés est importante, tout comme la sensibilisation au phishing ! De plus, l’utilisation d’outil tel que Merox afin de protéger ses DNS et sa marque, notamment par l’adoption de protocole comme le DMARC et le BIMI, permettra de limiter l’impact de ce type d’attaque.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *