Le FBI émet un avertissement à tous les utilisateurs d’Outlook et de Microsoft Teams concernant les escroqueries liées au piratage de compte. Voici comment rester en sécurité :

Le FBI a émis un avertissement urgent aux utilisateurs de Microsoft après avoir découvert un nouveau service de piratage capable de contourner les mesures de sécurité courantes.

Dans un communiqué d’intérêt public, l’agence a déclaré que les cybercriminels utilisaient une plate-forme appelée Kali365 pour accéder aux comptes Microsoft 365 via des attaques de phishing sophistiquées.

Les pirates informatiques envoient aux victimes des e-mails qui semblent provenir d’un service de confiance et les dirigent vers une page de connexion Microsoft légitime. Si la victime suit les instructions, l’attaquant peut obtenir un jeton d’authentification spécial prouvant que l’utilisateur est déjà connecté.

Ces jetons fonctionnent comme des laissez-passer numériques qui permettent aux pirates d’accéder à Outlook, Teams, OneDrive et d’autres services Microsoft sans avoir à saisir votre mot de passe à plusieurs reprises.

Étant donné que les jetons sont émis après une connexion réussie, les cybercriminels sont souvent capables de contourner l’authentification en deux étapes et de conserver l’accès aux comptes pendant de longues périodes, selon le FBI.

Le FBI exhorte les organisations à bloquer les fonctionnalités d’authentification de Microsoft connues sous le nom de « flux de code de périphérique » que les attaquants exploitent pour accéder aux comptes.

Cependant, les entreprises doivent d’abord examiner la manière dont la fonctionnalité est utilisée en interne pour garantir que les services et flux de travail légitimes ne sont pas perturbés.

Les utilisateurs doivent également surveiller les e-mails frauduleux à la recherche de signes de tentatives de phishing en vérifiant soigneusement l’adresse de l’expéditeur, les liens et la formulation du message.

“Kali365 abaisse la barrière à l’entrée pour les attaquants moins qualifiés en leur donnant accès à des leurres de phishing générés par l’IA, à des modèles de campagne automatisés, à des tableaux de bord de suivi des personnes/entités en temps réel et à des capacités de capture de jetons OAuth”, a déclaré le FBI.

Kali365 est vendu aux fraudeurs via un abonnement de 250 $ par mois.

Les cybercriminels commencent leurs attaques en envoyant des e-mails de phishing qui semblent provenir d’un service de productivité cloud ou de partage de documents fiable. Le message contient un code de périphérique et des instructions qui dirigent les victimes vers une page de vérification Microsoft légitime.

La victime saisit le code sur le site Web de Microsoft, croyant que la demande est authentique. Ce faisant, l’attaquant autorise sans le savoir son appareil à accéder à son compte.

L’attaquant capture ensuite un jeton d’authentification spécial appelé jeton d’accès et d’actualisation OAuth, qui donne accès au compte Microsoft 365 de la victime.

Si le jeton est volé, les pirates peuvent conserver l’accès aux services Microsoft tels que Outlook, Teams et OneDrive sans avoir besoin du mot de passe de la victime ni effectuer de vérifications d’authentification multifacteur supplémentaires.

Le FBI a également recommandé de mettre en œuvre des politiques pour empêcher le transfert de l’authentification d’un ordinateur vers un appareil mobile, une méthode que les cybercriminels peuvent exploiter lors d’une attaque.

Pour les organisations qui ne peuvent pas désactiver complètement le flux de code d’appareil, le FBI recommande d’exempter les comptes d’accès d’urgence.

Cela permet de garantir que les administrateurs ne sont pas exclus des systèmes critiques lorsque les contrôles de sécurité sont renforcés.

Le FBI a exhorté les utilisateurs à signaler les e-mails de phishing, les tentatives de connexion suspectes et les sessions actives connectées à des appareils ou des comptes non autorisés au Internet Crime Complaint Center.

L’agence a également averti les utilisateurs de ne pas cliquer sur des liens contenant des codes d’accès non sollicités.