Avec la levée des restrictions COVID-19 et les employés qui commencent à retourner dans les bureaux, les pirates sont obligés de changer de tactique. Alors que les travailleurs à distance ont été la principale cible des escrocs au cours des 18 derniers mois en raison du passage en masse au travail à domicile rendu nécessaire par la pandémie, une nouvelle campagne de phishing tente d'exploiter ceux qui ont commencé à retourner sur leur lieu de travail physique.
La campagne par e-mail, observée par Cofense, cible les employés avec des e-mails censés provenir de leur DSI pour les accueillir de nouveau dans les bureaux.
L'e-mail semble assez légitime, arborant le logo officiel de la société dans l'en-tête, ainsi que la signature d'usurpation du CIO. La majeure partie du message décrit les nouvelles précautions et les changements apportés aux opérations commerciales que l'entreprise prend par rapport à la pandémie.
Si un employé était trompé par l'e-mail, il serait redirigé vers ce qui semble être une page Microsoft SharePoint hébergeant deux documents de marque de l'entreprise. «Lorsque vous interagissez avec ces documents, il devient évident qu’ils ne sont pas authentiques et qu’il s’agit plutôt de mécanismes de phishing pour recueillir les informations d’identification du compte», explique Dylan Main, analyste des menaces au Phishing Defense Center de Cofense.
Cependant, si une victime décide d'interagir avec l'un ou l'autre des documents, un panneau de connexion apparaît et invite le destinataire à fournir des informations de connexion pour accéder aux fichiers.
«C'est rare parmi la plupart des pages de phishing Microsoft où la tactique d'usurpation de l'écran de connexion Microsoft ouvre un panneau d'authentification», a poursuivi Main. "En donnant aux fichiers l'apparence d'être réels et en ne redirigeant pas vers une autre page de connexion, l'utilisateur peut être plus susceptible de fournir ses informations d'identification afin de visualiser les mises à jour."
Une autre technique que les pirates utilisent est l'utilisation de fausses informations d'identification validées. Les premières fois que les informations de connexion sont entrées dans le panneau, le résultat sera le message d'erreur indiquant: «Votre compte ou mot de passe est incorrect.»
«Après avoir entré les informations de connexion à quelques reprises, l'employé sera redirigé vers une page Microsoft réelle», explique Main. «Cela donne l'impression que les informations de connexion étaient correctes et que l'employé a désormais accès aux documents OneDrive. En réalité, l'auteur de la menace a désormais un accès complet aux informations du propriétaire du compte. "
Bien qu’il s’agisse de l’une des premières campagnes à cibler les employés qui retournent sur leur lieu de travail (les chercheurs de Check Point en ont découvert une autre l’année dernière), il est peu probable que ce soit la dernière. Google et Microsoft, par exemple, ont commencé à accueillir le personnel de nouveau dans les cabines de bureau, et la majorité des dirigeants s'attendent à ce qu'au moins 50% des employés retournent travailler au bureau d'ici juillet, selon une récente étude de PwC.
«Nous avons vu des acteurs menaçants suivre les tendances tout au long de la pandémie, et nous nous attendons à ce qu'ils tirent parti des thèmes du retour au travail dans leurs attaques dans les mois à venir», a déclaré Tonia Dudley, conseillère stratégique chez Cofense, à TechCrunch. «Nous pouvons nous attendre à ce que les travailleurs à distance continuent d'être ciblés également. Alors que les employeurs commencent à ramener du personnel au bureau, il est probable que nous verrons un modèle de travail hybride évoluer. Les deux groupes seront la cible d'attaques de phishing. »
Les acteurs de la menace s'adaptent généralement pour exploiter l'environnement mondial. Tout comme le passage au travail de masse sur des connexions à distance a conduit à une augmentation du nombre d'attaques tentant d'exploiter les informations de connexion à distance, il est probable que le nombre d'attaques ciblant les réseaux sur site et les employés de bureau continuera de croître au cours des prochains mois..
