C’est officiel. [email protected] n’est plus sûr.
Si vous avez récemment reçu un message texte avec un lien étrange ou une ligne d’objet d’e-mail qui semble un peu trop urgente, vérifiez l’expéditeur. S’il est écrit cette adresse, bingo. C’est Microsoft. C’est réel. Et c’est là le problème.
Les fraudeurs n’usurpent pas le domaine. Ils arment le système lui-même.
L’exploit de confiance
On nous apprend à vérifier les adresses des expéditeurs. S’il s’agit de « @microsoft.com », cela doit être légitime, pensons-nous. Pas plus.
Les attaquants ont trouvé un moyen intelligent et peu technologique de détourner le moteur de notification. Ils n’ont pas besoin de s’introduire dans les serveurs de Microsoft. Il leur suffit d’en louer un.
Voici la pièce, détaillée par la société de cybersécurité Abnormal :
- Le méchant acteur crée un compte Microsoft 36 jetable.
- Ils accèdent aux paramètres de marque du locataire (en particulier dans Microsoft Entra ID).
- Ils remplacent le champ « Nom » de ce locataire par le message frauduleux lui-même. Une fausse alerte financière. Une invite de phishing. Tout ce qui attire votre attention.
- Ils déclenchent une action automatisée qui oblige Microsoft à envoyer un e-mail à la victime. Cela implique souvent de demander à ajouter l’adresse e-mail de la victime au compte.
Étant donné que le système de Microsoft envoie la notification, il utilise l’adresse légitime « [email protected] ».
Le contenu de l’e-mail ? Minimal.
Aucune pièce jointe malveillante. Aucun hyperlien effrayant menant à une fausse page de connexion. Juste une ligne d’objet et peut-être un peu de corps de texte. Le texte ? Il s’agit du champ “Nom” que l’attaquant a modifié plus tôt. Il se trouve dans l’en-tête ou dans le corps sous forme de données brutes provenant d’une source fiable.
Le principal exploit réside dans la configuration au sein de Microsoft Entra ID.
Vos filtres anti-spam examinent l’expéditeur. Ils voient Microsoft. Ils l’ont laissé glisser. Il n’y a aucune signature de malware sur laquelle trébucher. L’e-mail est techniquement propre, même si l’intention est malveillante.
Depuis combien de temps cela dure-t-il ?
Pendant un certain temps.
Vous avez peut-être remarqué que des gens sur Twitter se plaignent de cela ces derniers temps, mais Abnormal a écrit sur cette tactique en janvier. Les mauvais acteurs aiment l’efficacité. Si une méthode fonctionne, des milliers de personnes la copieront. Et cette méthode ? Il contourne les couches de sécurité les plus coûteuses car il repose sur la confiance.
Pourquoi votre fournisseur de messagerie bloquerait-il un e-mail provenant directement d’un processus de vérification des locataires Microsoft ? Cela ne devrait pas. Jusqu’à ce qu’il le devrait.
Microsoft n’a pas encore publié de déclaration publique ni de correctif pour cet abus de marque spécifique, selon les rapports.
Vous êtes donc seul.
Que faites-vous maintenant?
Ignorez l’adresse de l’expéditeur.
Regardez le contexte. Avez-vous demandé à Microsoft de changer le nom de votre locataire ? Probablement pas. La ligne d’objet ressemble-t-elle à une notification générique ou contient-elle une demande spécifique ?
“L’attaquant accède aux propriétés du locataire…”
Cela semble ennuyeux. Cela ressemble à de la paperasse informatique. Mais cette paperasse ennuyeuse est l’arme.
Gardez les yeux ouverts. Si un e-mail arrive de cette adresse et que vous n’attendiez rien, faites une pause. Vérifiez l’URL dans la barre d’adresse de votre navigateur, pas les liens de courrier électronique. Supprimez les bits suspects.
Internet n’est plus sécurisé. C’est juste pratique.
Soyez prudent là-bas.
