{"id":255352,"date":"2022-07-13T15:25:17","date_gmt":"2022-07-13T17:25:17","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-les-attaques-de-phishing-aitm-a-grande-echelle-contre-plus-de-10-000-organisations\/"},"modified":"2022-07-13T15:25:17","modified_gmt":"2022-07-13T17:25:17","slug":"microsoft-met-en-garde-contre-les-attaques-de-phishing-aitm-a-grande-echelle-contre-plus-de-10-000-organisations","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-les-attaques-de-phishing-aitm-a-grande-echelle-contre-plus-de-10-000-organisations\/","title":{"rendered":"Microsoft met en garde contre les attaques de phishing AiTM \u00e0 grande \u00e9chelle contre plus de 10 000 organisations"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Attaques de phishing Ai\u2122\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhenvBjUnkOSZ4cZJBwuWk5vs1CBI_0KRCA6jkSQNm0nv2_JNWw6AgkTvMDsnjSuWBPqMyvz5ZN6_NIwgcBT2VAlbWwiiF16SFTlplaaVD01VK5sdiekM_hyFi6gBh4SLGSw3e_JkXhr54MTIB9kD94Pow80GiYRuE8bxfgMH-F0Gg0OFFvtuzTBRJP\/s728-e1000\/ms.jpg\" title=\"Attaques de phishing Ai\u2122\"\/><\/div>\n<p>Microsoft a r\u00e9v\u00e9l\u00e9 mardi qu&#8217;une campagne de phishing \u00e0 grande \u00e9chelle ciblait plus de 10 000 organisations depuis septembre 2021 en d\u00e9tournant le processus d&#8217;authentification d&#8217;Office 365, m\u00eame sur des comptes s\u00e9curis\u00e9s avec une authentification multifacteur (MFA).<\/p>\n<p>&#8220;Les attaquants ont ensuite utilis\u00e9 les informations d&#8217;identification vol\u00e9es et les cookies de session pour acc\u00e9der aux bo\u00eetes aux lettres des utilisateurs concern\u00e9s et effectuer des campagnes de compromis de messagerie professionnelle (BEC) contre d&#8217;autres cibles&#8221;, ont d\u00e9clar\u00e9 les \u00e9quipes de cybers\u00e9curit\u00e9 de l&#8217;entreprise. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/security\/blog\/2022\/07\/12\/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud\/\" target=\"_blank\">signal\u00e9<\/a>.<\/p>\n<p>Les intrusions impliquaient la mise en place de sites d&#8217;hame\u00e7onnage Adversary-in-the-middle (AitM), dans lesquels l&#8217;adversaire d\u00e9ploie un serveur proxy entre une victime potentielle et le site Web cibl\u00e9 afin que les destinataires d&#8217;un e-mail d&#8217;hame\u00e7onnage soient redirig\u00e9s vers des pages de destination similaires con\u00e7ues pour capturer les informations d&#8217;identification. et les informations MFA.<\/p>\n<p>&#8220;La page de phishing comporte deux sessions TLS (Transport Layer Security) diff\u00e9rentes, l&#8217;une avec la cible et l&#8217;autre avec le site Web auquel la cible souhaite acc\u00e9der&#8221;, a expliqu\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>&#8220;Ces sessions signifient que la page de phishing fonctionne pratiquement comme un agent AitM, interceptant l&#8217;ensemble du processus d&#8217;authentification et extrayant des donn\u00e9es pr\u00e9cieuses des requ\u00eates HTTP telles que les mots de passe et, plus important encore, les cookies de session.&#8221;<\/p>\n<p>Arm\u00e9s de ces informations, les attaquants ont inject\u00e9 les cookies dans leurs propres navigateurs pour contourner le processus d&#8217;authentification, m\u00eame dans les sc\u00e9narios o\u00f9 la victime avait activ\u00e9 les protections MFA.<\/p>\n<p>La campagne de phishing rep\u00e9r\u00e9e par Microsoft a \u00e9t\u00e9 orchestr\u00e9e pour cibler les utilisateurs d&#8217;Office 365 en usurpant la page d&#8217;authentification en ligne d&#8217;Office, les acteurs utilisant le kit de phishing Evilginx2 pour mener les attaques AitM.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Attaques de phishing Ai\u2122\" border=\"0\" data-original-height=\"391\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhJr7g2QSl51O-u0UqhIWeQsdhfCobU_uEMO4msb3QXm5DEQSORJDcJ6s3yZPT8I0qsP_yiVLpFCyPGoOtDFLAl906W_jJJWOi4ijQkzc3fM_TSjyfuC3AqiXkv31OUVl2_f4evPZ0edZI3Fq2v6Gaff26SJyG6SpNeT7f7Wz_RozdG812aEijPfMM0\/s728-e1000\/msms.jpg\" title=\"Attaques de phishing Ai\u2122\"\/><\/div>\n<p>Cela impliquait l&#8217;envoi d&#8217;e-mails contenant des leurres sur le th\u00e8me des messages vocaux qui \u00e9taient marqu\u00e9s d&#8217;une grande importance, incitant les destinataires \u00e0 ouvrir des pi\u00e8ces jointes HTML contenant des logiciels malveillants qui redirigeaient vers les pages de destination volant les informations d&#8217;identification.<\/p>\n<p>Pour compl\u00e9ter la ruse, les utilisateurs ont finalement \u00e9t\u00e9 redirig\u00e9s vers le bureau l\u00e9gitime[.]com apr\u00e8s l&#8217;authentification du site Web, mais pas avant que les attaquants n&#8217;utilisent l&#8217;approche AitM susmentionn\u00e9e pour siphonner les cookies de session et obtenir le contr\u00f4le du compte compromis.<\/p>\n<p>Les attaques ne se sont pas arr\u00eat\u00e9es l\u00e0, car les acteurs de la menace ont abus\u00e9 de l&#8217;acc\u00e8s \u00e0 leur bo\u00eete aux lettres pour effectuer des fraudes de paiement en utilisant une technique appel\u00e9e d\u00e9tournement de fil de courrier \u00e9lectronique pour tromper les parties \u00e0 l&#8217;autre bout de la conversation afin de transf\u00e9rer ill\u00e9galement des fonds vers des comptes sous leur contr\u00f4le.<\/p>\n<p>Pour masquer davantage leurs communications avec la cible de la fraude, les acteurs de la menace ont \u00e9galement cr\u00e9\u00e9 des r\u00e8gles de bo\u00eete aux lettres qui d\u00e9pla\u00e7aient automatiquement chaque e-mail entrant contenant le nom de domaine concern\u00e9 vers le dossier &#8220;Archive&#8221; et le marquaient comme &#8220;lu&#8221;.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Il a fallu aussi peu de temps que cinq minutes apr\u00e8s le vol d&#8217;informations d&#8217;identification et de session pour qu&#8217;un attaquant lance sa fraude de paiement de suivi&#8221;, a not\u00e9 Microsoft.<\/p>\n<p>Les attaquants auraient utilis\u00e9 Outlook Web Access (OWA) sur un navigateur Chrome pour mener les activit\u00e9s frauduleuses, tout en supprimant du dossier Bo\u00eete de r\u00e9ception du compte l&#8217;e-mail de phishing d&#8217;origine ainsi que les communications de suivi avec la cible \u00e0 la fois de l&#8217;Archive et les dossiers \u00c9l\u00e9ments envoy\u00e9s pour effacer les traces.<\/p>\n<p>&#8220;Cette campagne de phishing AiTM est un autre exemple de la fa\u00e7on dont les menaces continuent d&#8217;\u00e9voluer en r\u00e9ponse aux mesures de s\u00e9curit\u00e9 et aux politiques mises en place par les organisations pour se d\u00e9fendre contre les attaques potentielles&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Alors que le phishing AiTM tente de contourner l&#8217;authentification MFA, il est important de souligner que la mise en \u0153uvre de l&#8217;authentification MFA reste un pilier essentiel de la s\u00e9curit\u00e9 de l&#8217;identit\u00e9. L&#8217;authentification MFA reste tr\u00e8s efficace pour arr\u00eater une grande vari\u00e9t\u00e9 de menaces\u00a0; son efficacit\u00e9 est la raison pour laquelle le phishing AiTM est apparu en premier lieu.&#8221;<\/p>\n<p>Les d\u00e9couvertes surviennent alors qu&#8217;un groupe de chercheurs de l&#8217;Universit\u00e9 Stony Brook et de Palo Alto Networks ont d\u00e9montr\u00e9 \u00e0 la fin de l&#8217;ann\u00e9e derni\u00e8re une nouvelle technique d&#8217;empreintes digitales qui permet d&#8217;identifier les kits de phishing AitM dans la nature \u00e0 l&#8217;aide d&#8217;un outil appel\u00e9 PHOCA.<\/p>\n<p>&#8220;Des attaques comme celle-ci sont de plus en plus courantes \u00e0 mesure que les organisations et les individus activent l&#8217;authentification multifacteur (MFA) sur les comptes afin de mieux les s\u00e9curiser&#8221;, a d\u00e9clar\u00e9 Erich Kron, d\u00e9fenseur de la sensibilisation \u00e0 la s\u00e9curit\u00e9 chez KnowBe4, dans un communiqu\u00e9.<\/p>\n<p>&#8220;Pour se prot\u00e9ger contre les e-mails de phishing qui incitent les victimes \u00e0 cliquer sur un lien, les organisations doivent former les employ\u00e9s \u00e0 identifier et \u00e0 signaler le phishing et les tester r\u00e9guli\u00e8rement avec des simulations d&#8217;attaques de phishing qui leur permettent de mettre en pratique ces comp\u00e9tences. En outre, \u00e9duquer les utilisateurs sur comment identifier les fausses pages de connexion r\u00e9duira consid\u00e9rablement le risque d&#8217;abandonner les informations d&#8217;identification et les cookies de session.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/microsoft-warns-of-large-scale-aitm.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft a r\u00e9v\u00e9l\u00e9 mardi qu&#8217;une campagne de phishing \u00e0 grande \u00e9chelle ciblait plus de 10 000 organisations depuis septembre 2021 en d\u00e9tournant le processus d&#8217;authentification d&#8217;Office 365, m\u00eame sur des comptes s\u00e9curis\u00e9s avec une authentification multifacteur (MFA). &#8220;Les attaquants ont ensuite utilis\u00e9 les informations d&#8217;identification vol\u00e9es et les cookies de session pour acc\u00e9der aux bo\u00eetes [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[89188,8074,4168,841,4158,4165,4161,1741,525,1740,4157,4159,4171,4170,65,4167,4955,8362,4160,4163,4162,12070,8153,4172,4169,4166,4164],"class_list":["post-255352","post","type-post","status-publish","format-standard","hentry","category-technologie","tag-aitm","tag-attaques","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-echelle","tag-garde","tag-grande","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-met","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-organisations","tag-phishing","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/255352","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=255352"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/255352\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=255352"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=255352"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=255352"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}