Du phishing FedEx et DHL met 10 000 comptes e-mails Microsoft en danger

Des chercheurs en sécurité d’Armorblox ont alerté sur une campagne d’e-mails de phishing usurpant les marques FedEx et DHL qui sont parvenus à déjouer la sécurité des serveurs de messagerie Exchange et l’outil de sécurité Defender de Microsoft pour 10 000 comptes.

Lorsque l’on attend un colis, quoi de plus normal que de guetter l’arrivée d’un e-mail du transporteur pour savoir où en est sa livraison. Une attente que les cyberpirates de tous bords exploitent allégrement depuis longtemps en piégeant les messages électroniques avec du code ou des liens malveillants renvoyant sur un site contrôlé par les hackers. Fréquente autant que nuisible, cette situation devient encore plus problématique lorsque les serveurs et outils de sécurité des solutions de messagerie laissent filer les e-mails piégés dans la boite de réception principale. C’est ce qui s’est pourtant passé pour près de 10 000 utilisateurs des services de messagerie Microsoft Exchange Online Protection (EOP) et Defender for Office 365.

« Cette attaque par e-mail a contourné les contrôles de sécurité des e-mails natifs de Microsoft qui a attribué un niveau de confiance en matière de spam (SCL) de «1» à l’e-mail FedEx et de «-1» à l’e-mail DHL, ce qui signifie que Microsoft n’a pas déterminé ces e-mails comme suspects et les a transmis aux boîtes aux lettres des utilisateurs finaux », a indiqué Armorblox. « Il y a quelques jours, l’équipe de recherche sur les menaces Armorblox a observé un e-mail usurpant l’identité de FedEx qui tentait d’atteindre l’un de nos environnements clients. L’e-mail était intitulé « Un nouveau FedEx vous a été envoyé » suivi de la date à laquelle l’e-mail a été envoyé. L’e-mail contenait des informations sur le document pour le faire paraître légitime, ainsi que des liens pour afficher le document supposé ».

Méfiance et vigilance, indissociables vertus pour éviter les déconvenues

Une fois cliqué sur le lien piégé renvoyant sur un nom de domaine Quip, une extension bureautique pour Salesforce, une fausse fenêtre d’identification Microsoft s’ouvre avec pour seul objectif de récupérer les véritables identifiants de la victime. Concernant DHL, le vecteur d’attaque est quelque peu différent, avec cette fois une pièce jointe vérolée nommée « SHIPPING.DOC » nécessitant pour être ouverte d’entrer ses identifiants Adobe pour lire en PDF la version de ce faux document. Le résultat est le même avec à la clé pour les pirates la très mauvaise intention de voler les véritables noms d’utilisateurs et mots de passe.

Si ces attaques sont loin d’être originales, elles montrent toujours à quel point la vigilance est plus que nécessaire même dans un environnement bureautique que l’on pense, en toute bonne foi, sécurisé. Dans ce cas précis, vérifier manuellement sur les sites des transporteurs en passant par un moteur de recherche ou bien en tapant directement leur nom dans la barre de recherche pour suivre ensuite les étapes de livraison de colis ou tout document relatif à cette livraison, est la meilleure pratique pour ne pas se faire avoir…

Source