Si les organisations du monde entier ont adopté les outils de collaboration cloud en nombre record, les attaquants ont rapidement suivi la tendance. Ces derniers mois, les chercheurs Proofpoint ont observé une accélération du nombre d’acteurs de la menace exploitant les infrastructures de Microsoft et de Google pour héberger et envoyer des menaces à travers Office 365, Azure, OneDrive, SharePoint, G-Suite et le stockage Firebase.
Tribune – Parmi les chiffres les plus marquants, les chercheurs Proofpoint constatent :
- L’année dernière, 59 809 708 messages malveillants provenant de Microsoft Office 365 ont ciblé des milliers d’entreprises
- Plus de 90 millions de messages malveillants ont été envoyés ou hébergés par Google, dont 27 % via Gmail, la plateforme de messagerie la plus populaire au monde.
- Au premier trimestre 2021, sept millions de messages malveillants provenant de Microsoft Office 365 et 45 millions de messages malveillants provenant de l’infrastructure Google ont été observés, ce qui dépasse de loin les attaques par trimestre basées sur Google en 2020.
Le volume de messages malveillants provenant de ces services cloud ne cesse de progresser et la réputation de confiance de ces domaines, notamment outlook.com et sharepoint.com, augmente la difficulté de détection de ces menaces. Une perception d’authenticité essentielle à l’heure ou le mail garde son statut de premier vecteur de menace.
De plus, les acteurs de la menace s’appuient de plus en plus sur la chaîne d’approvisionnement et l’écosystème des partenaires pour compromettre des comptes, voler des informations d’identification et des fonds. Proofpoint a récemment publié les conclusions d’une étude selon laquelle 98 % des organisations sur un panel mondial de 3000 entreprises ont reçu une menace provenant d’un domaine fournisseur au cours d’une période de 7 jours en février 2021.
Conscient de la valeur de ces accès, au cours de l’année dernière, les acteurs de la menace ont ciblé 95 % des organisations avec des tentatives de compromission de comptes cloud, et plus de la moitié ont subi au moins une compromission réussie. Parmi les comptes compromis, plus de 30 % ont fait l’objet d’une activité post-accès, notamment la manipulation de fichiers, le transfert d’e-mails et l’activité OAuth. S’ils sont volés, les acteurs de la menace peuvent tirer parti des informations d’identification pour se connecter à des systèmes en tant qu’imposteurs, se déplacer dans plusieurs services de cloud computing et environnements hybrides, et envoyer des e-mails convaincants en se faisant passer pour un véritable employé, orchestrant ainsi des pertes financières et de données potentielles conséquentes.
Dans ce nouveau blog Proofpoint vous trouverez un tour d’horizon des récentes campagnes de phishing qui montrent comment les acteurs de la menace utilisent à la fois Microsoft et Google pour tenter de convaincre les utilisateurs d’agir.