Une campagne de phishing et de compromission d’e-mails professionnels (BEC) qui tente de dérober des millions de dollars aux victimes cible les comptes Microsoft 365 avec des attaques qui peuvent contourner l’authentification multifactorielle (MFA).
L’application de l’authentification multifactorielle (MFA) est l’une des meilleures choses que l’on puisse faire pour aider à protéger les comptes des utilisateurs contre la compromission. Mais comme pour toute autre mesure de cybersécurité, les pirates malveillants tentent de trouver des moyens de la contourner.
Un exemple de cette situation a été détaillé par les chercheurs en cybersécurité de Mitiga, qui ont découvert une campagne combinant le hameçonnage et les attaques de type « man-in-the-middle » pour contourner le MFA.
Des demandes de paiement frauduleuses par e-mail
Les attaques ciblent les comptes Office 365 basés sur le cloud des cadres – principalement les PDG et les directeurs financiers – afin d’envoyer des courriels frauduleux demandant des transferts financiers, en se glissant dans des conversations par courriel en cours et légitimes sur des transactions commerciales, mais avec une demande de paiement frauduleuse.
Les attaquants modifient les coordonnées bancaires afin de recevoir le paiement si le transfert est approuvé. Selon les chercheurs, les attaquants à l’origine de cette campagne tentent de dérober des millions de dollars à chaque transaction.
Dans de nombreux cas de fraude BEC – qui coûte aux victimes un total cumulé de plusieurs milliards de dollars – l’escroquerie n’est pas remarquée avant qu’il ne soit trop tard et que les attaquants aient emporté l’argent.
Cependant, l’attaque décrite par les chercheurs n’a pas été couronnée de succès, car les victimes visées ont remarqué que quelque chose n’allait pas et ont enquêté sur l’incident, ce qui permet de comprendre comment les attaques de BEC évoluent pour contourner les défenses renforcées.
Contournement discret de l’authentification multiple
Ces attaques commencent par des e-mails de phishing spécialement conçus pour les dirigeants des organisations visées.
Ils sont conçus pour ressembler à des documents légitimes de DocuSign, mais si la victime clique sur le lien malveillant, elle est dirigée vers ce qui semble être une page de connexion à Microsoft 365. Celle-ci semble légitime et si l’utilisateur saisit ses coordonnées, il fournit à l’attaquant son nom d’utilisateur et son mot de passe.
Cette attaque utilise également des serveurs proxy qui se situent entre le client et le véritable serveur Microsoft, ce qui lui permet de contourner secrètement l’authentification multiple. Pour ce faire, la victime est invitée à confirmer sa demande MFA sur son appareil, ce qui renvoie un cookie de session valide. L’attaquant utilise le serveur proxy pour prendre le contrôle de la session de la victime sans avoir à saisir à nouveau un mot de passe ou une demande MFA.
Grâce à ces autorisations, l’attaquant peut configurer une deuxième application d’authentification MFA pour lui-même, à l’insu de l’utilisateur initial, ce qui lui permet d’avoir une persistance totale sur le compte compromis et de surveiller les e-mails et autres activités.
C’est cette approche qui a permis aux attaquants d’envoyer une réponse à une correspondance réelle concernant une transaction et de tenter de rediriger un paiement vers leur propre compte. Les attaquants n’ont pas réussi à obtenir un transfert, mais l’incident démontre l’évolution des BEC et autres systèmes cybercriminels.
Des mesures de sécurité supplémentaires s’imposent
« Les cyberattaques sont un business – et elles ne peuvent pas renoncer à leurs revenus juste parce que quelqu’un a construit un nouveau contrôle de sécurité. Le MFA semblait être un excellent moyen de lutte contre les attaques par hameçonnage, et l’a été pendant un certain temps, car les attaquants choisissaient simplement de s’en prendre à ceux qui ne l’avaient pas mis en place. Mais maintenant qu’elle est répandue, les attaquants ont développé des technologies pour la contourner », a déclaré à ZDNET Ofer Maor, directeur technique chez Mitiga.
« C’est pourquoi la sécurité est un processus continu et doit continuer à évoluer en fonction de l’évolution des attaquants, et c’est pourquoi les organisations doivent rester en tête de la courbe en ce qui concerne leur sécurité, afin que la majorité des attaques ne se concentrent pas sur elles. »
Mitiga a contacté Microsoft au sujet de ces attaques et ZDNET a également contacté Microsoft pour obtenir des commentaires.
Le MFA reste un outil essentiel pour aider à protéger les utilisateurs et les organisations contre les cyberattaques, mais des mesures supplémentaires peuvent être prises pour renforcer la sécurité et préserver les comptes.
Les chercheurs de Mitiga recommandent de lier la sécurité des comptes à des ordinateurs et des téléphones spécifiques et autorisés, ce qui peut contribuer à empêcher les cybercriminels de compromettre des comptes pour des applications et des services en cloud depuis un autre endroit.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));