Les chercheurs de Check Point ont identifié une nouvelle campagne de phishing exploitant Dynamics 365 Customer Voice de Microsoft, un produit de gestion de la relation client. Il est souvent utilisé pour enregistrer les appels clients, surveiller les avis clients, partager des enquêtes et suivre les retours.
Tribune CheckPoint – Microsoft 365 est utilisé par plus de deux millions d’organisations dans le monde. Au moins 500 000 organisations utilisent Dynamics 365 Customer Voice, y compris 97 % des entreprises du Fortune 500.
Dans cette campagne, les cybercriminels envoient des fichiers professionnels et des factures depuis des comptes compromis, et incluent de faux liens vers Dynamics 365 Customer Voice. La configuration de l’email semble légitime et trompe facilement les destinataires, les incitant à mordre à l’hameçon.
Dans le cadre de cette campagne, les cybercriminels ont diffusé plus de 3 370 emails, dont le contenu a atteint les employés de plus de 350 organisations, principalement américaines. Plus d’un million de boîtes mail distinctes ont été ciblées.
Les entités affectées comprennent des groupes bien établis œuvrant à l’amélioration des communautés, des collèges et universités, des médias d’information, un groupe de santé de premier plan, et des organisations promouvant les arts et la culture, entre autres.
Détails d’exécution de la campagne :
Les emails de phishing se concentrent sur des thématiques à caractère financier. Les lignes d’objet évoquent généralement des relevés de règlement, ALTA, des informations de paiement EFT ou des déclarations de clôture.
Comme mentionné précédemment, les emails incluent de faux liens. Ces liens prétendent que les destinataires ont reçu un nouveau message vocal ou un document PDF. Tous les messages sont conçus pour paraître légitimes.
Dans le second email, les attaquants ont inséré un lien légitime dans la page, et ajouté également un faux lien supplémentaire.
Lorsque les destinataires cliquent sur les liens frauduleux, ils sont dirigés vers un test Captcha, destiné à leur faire croire qu’ils ne sont pas face à un email de phishing, mais à une requête authentique.
Ensuite, le destinataire est redirigé vers un site de phishing, qui imite une page de connexion Microsoft. C’est à ce moment-là que les attaquants tentent de voler les informations des utilisateurs.
Impact :
L’objectif principal de cette campagne de phishing est de dérober les identifiants des utilisateurs. Si les cybercriminels réussissent, ils peuvent obtenir un accès non autorisé à des informations sensibles et à des systèmes.
En conséquence, les organisations peuvent être confrontées à la manipulation de comptes internes, au vol de fonds et/ou à des perturbations opérationnelles.
Mesures d’atténuation :
Microsoft a bloqué certaines de ces pages de phishing. Cependant, certaines tentatives ont pu atteindre les boîtes mail avant que les pages ne soient supprimées.
Les responsables de la cybersécurité doivent informer les employés de la possibilité d’emails suspects et de l’importance de vérifier leur origine ; en particulier ceux prétendant provenir des services Microsoft, y compris Dynamics 365 Customer Voice.
Il va de soi que les entreprises doivent s’assurer de disposer de la solution de sécurité email la plus avancée possible. Il faut penser à des solutions basées sur l’intelligence artificielle, fournies via le cloud et dotées d’une protection multicouche intégrée et en ligne contre les menaces.
Check Point a réussi à bloquer les emails de cette campagne en extrayant les liens, et des couches de sécurité ont été ajoutées aux produits afin de prévenir et détecter les menaces similaires à l’avenir.
