Une redoutable arnaque se propage sur Internet. Cette escroquerie repose sur des mails envoyés depuis une véritable adresse Microsoft. Les cybercriminels ont en effet trouvé le moyen de détourner un service de l’éditeur pour tenter de piéger leurs cibles avec de fausses alertes de facturation.
Depuis quelques semaines, de nombreux témoignages d’internautes font état d’une vague d’arnaques par mail qui exploitent une véritable adresse électronique Microsoft. Comme le rapportent nos confrères d’Ars Technica, les cybercriminels se servent de l’adresse [email protected] pour propager leurs escroqueries. Celle-ci est liée à Power BI, une plateforme de Microsoft qui permet de transformer des données brutes en tableaux de bord et rapports interactifs.
Le service dispose d’une fonctionnalité qui propose aux utilisateurs d’envoyer des rapports interactifs à des adresses mail. Power BI permet à un utilisateur de s’abonner, lui ou d’autres personnes, à un rapport pour recevoir automatiquement des e‑mails depuis [email protected]. C’est cette fonction qui est détournée de son usage principal par les pirates. En utilisant Power Bi, les cybercriminels peuvent entrer en contact avec leurs cibles en contournant les mesures antispams de la plupart des services de messagerie. Ils profitent aussi de la légitimité d’une adresse Microsoft officielle pour propager leurs mails de phishing.
À lire aussi : Ces 6 failles Windows sont exploitées dans des cyberattaques, installez la mise à jour de Microsoft
Une fausse alerte de facturation
Une fois que les pirates ont ajouté l’adresse de leur cible à la plateforme, ils vont rédiger un rapport Power Bi qui sera automatiquement envoyé à la victime. Dans les cas observés par le média, ce rapport prend la forme d’une alerte de facturation indiquant qu’un paiement de près de 400 dollars vient d’être débité sur votre compte. Le message parle d’un abonnement à un logiciel de sécurité ou un « plan de protection » Microsoft. Le message ressemble à un reçu banal, avec un numéro de facture, un montant précis et un récapitulatif de transaction. Surtout, il inclut un numéro de téléphone à appeler d’urgence pour contester l’opération.
C’est là que l’arnaque bascule du mail au téléphone. L’attaque phishing se transforme en opération de « vishing », à savoir une article qui repose sur la voix. En appelant ce numéro factice, la victime tombe sur un faux support qui reprend tous les codes d’un vrai service client. L’interlocuteur explique qu’il peut annuler le débit… mais uniquement si la personne installe un logiciel d’accès à distance. C’est là que le piège se referme sur la cible. Une fois ce programme installé, l’attaquant prend la main sur l’ordinateur et peut vider des comptes bancaires, dérober des mots de passe ou installer des malwares.
L’un des points les plus préoccupants de l’attaque, c’est qu’aucun lien ni pièce jointe malveillante n’apparaît dans le message, souligne la chercheuse Sarah Sabotka de ProofPoint. Le cœur de l’escroquerie se joue dans l’échange au téléphone, ce qui permet de contourner les filtres automatiques et les antivirus. Ce n’est pas la première fois que des cybercriminels détournent des outils d’entreprise pour donner une apparence de respectabilité à leurs attaques. En 2024, les chercheurs de Cofense avaient déjà documenté l’usage de Power BI pour héberger des liens de phishing envoyés par mail. D’autres géants du cloud, comme Google et sa plateforme d’automatisation, ont aussi été abusés dans des campagnes similaires par le passé.
À lire aussi : Microsoft neutralise un « moteur essentiel » des arnaques en ligne
Microsoft agit et colmate la vulnérabilité
Face à la multiplication de ces abus, Microsoft a désactivé temporairement la fonction de Power BI qui permettait de s’abonner par e-mail à certains rapports. . Selon l’entreprise, cette fonctionnalité ne nécessitait pas de consentement explicite de la personne ajoutée en tant qu’abonnée, ce qui la rendait particulièrement attractive pour les cybercriminels. L’éditeur promet de déployer une solution plus durable dans un avenir proche. Microsoft ne précise pas si cela passera par un mécanisme de consentement explicite ou par des limites plus strictes pour les destinataires externes.
Pour éviter de vous laisser piéger par un mail envoyé par une adresse Microsoft, il faut adopter de bonnes habitudes. Tout d’abord, il faut toujours refuser d’installer un logiciel à la demande d’un interlocuteur, surtout s’il a été contacté par un numéro de téléphone trouvé dans un mail. En cas de doute, passer par les canaux officiels de l’éditeur plutôt que par les coordonnées fournies dans le message.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Ars Technica