Une campagne de phishing particulièrement sophistiquée aurait compromis des centaines de comptes Microsoft 365. Le FBI met en garde contre une nouvelle plateforme de phishing en tant que service (PhaaS) appelée Kali365. Ces plateformes permettent aux cybercriminels de louer ou d'acheter des kits de phishing complets, conçus par d'autres acteurs malveillants, afin de mener leurs propres campagnes d'attaque. Quant au phishing, il s'agit d'une technique consistant à se faire passer pour une personne de confiance ou un organisme afin d'inciter les victimes à divulguer des informations sensibles telles que leurs identifiants de connexion, leurs données bancaires ou d'autres renseignements personnels.
Kali365 : le phishing à la portée de tous les hackers
Dans le cas de Kali365, la plateforme est principalement utilisée pour cibler les utilisateurs de Microsoft 365. Selon le FBI, elle permet aux cybercriminels d'obtenir des jetons d'accès à Microsoft 365, contournant ainsi l'authentification multifacteur (MFA). Ils peuvent ainsi prendre le contrôle des comptes des utilisateurs de Microsoft 365, sans avoir besoin d'intercepter les identifiants de connexion de leurs victimes. Comme l'explique le FBI dans un communiqué, « Kali365 a principalement été distribué via Telegram ». L'agence fédérale de police américaine souligne aussi que la plateforme facilite le travail des cybercriminels les moins expérimentés. Elle met effectivement à leur disposition des outils prêts à l'emploi comme des campagnes de phishing automatisées et des tableaux de bord de suivi des cibles en temps réel.
Comment les pirates s'emparent des comptes Microsoft 365
Pour piéger leurs victimes, les attaquants envoient des courriels se faisant passer pour un service de partage de documents ou de productivité en ligne. Le message en question contient un code d'authentification et invite l'utilisateur à se rendre sur une véritable page de vérification de Microsoft afin de le saisir. Comme la page de Microsoft est légitime, la victime est moins susceptible de s'en méfier. En entrant le code, elle accorde toutefois l'accès à son compte Microsoft 365 à un appareil contrôlé par les cybercriminels. Les attaquants peuvent ensuite récupérer les jetons d'authentification associés et accéder à différents services Microsoft 365 comme Outlook, Teams ou OneDrive sans avoir besoin du mot de passe de la victime.
Phishing : les précautions à prendre
Mais alors, comment se protéger de cette nouvelle campagne de phishing ? Les mêmes précautions que celles à adopter au quotidien sur Internet restent de mise. Autrement dit, il faut toujours se méfier des mails inattendus et ne pas cliquer sur des liens suspects. Il est également recommandé de toujours vérifier l'authenticité des demandes reçues avant de communiquer des informations sensibles ou de se connecter à l'un de ses comptes.
