Une campagne de phishing innovante cible les comptes PayPal en exploitant Microsoft 365
Une campagne de phishing inhabituelle vise à usurper des comptes PayPal en exploitant une fonctionnalité légitime de Microsoft 365 pour envoyer des demandes de paiement frauduleuses. Les attaquants redirigent les utilisateurs vers une page de connexion PayPal factice, leur permettant de voler leurs identifiants et de prendre le contrôle de leurs comptes. Cette méthode, découverte par Carl Windsor, CISO de Fortinet Labs, se distingue par son utilisation astucieuse de domaines de test Microsoft 365 pour contourner les filtres de sécurité traditionnels.
Une attaque sophistiquée et difficile à détecter
Carl Windsor a été lui-même ciblé par cette campagne. Il a reçu un e-mail provenant d’une adresse PayPal apparemment légitime, demandant un paiement de 2 185,96 dollars. Bien que l’e-mail ne soit pas adressé directement à Windsor, mais à une liste de distribution créée par les attaquants, il semblait authentique à première vue. "Ce qui rend cette attaque intéressante, c’est qu’elle n’utilise pas les méthodes de phishing traditionnelles", explique Windsor. "L’e-mail, les URL et tout le reste sont parfaitement valides."
Les attaquants ont exploité un domaine de test Microsoft 365, gratuit pendant trois mois, pour créer une liste de distribution contenant les adresses e-mail des victimes. Cela permet aux messages envoyés depuis ce domaine de contourner les vérifications de sécurité standard, comme les protocoles SPF, DKIM et DMARC. Une fois la demande de paiement envoyée via PayPal, les victimes reçoivent un e-mail semblant provenir de PayPal, les invitant à se connecter pour vérifier la transaction.
Le piège de la page de connexion factice
Lorsque la victime clique sur le lien, elle est redirigée vers une page de connexion PayPal légitime, mais modifiée pour lier son compte PayPal à l’adresse e-mail contrôlée par les attaquants. En saisissant ses identifiants, la victime donne involontairement accès à son compte aux cybercriminels. "Une fois que la victime paniquée se connecte pour voir ce qui se passe, le compte de l’arnaqueur est lié au compte de la victime", explique Windsor. "L’arnaqueur peut alors prendre le contrôle du compte PayPal."
Une méthode furtive et efficace
Cette technique permet aux attaquants de contourner les mécanismes de détection de phishing traditionnels, y compris ceux de PayPal. Elad Luz, responsable de la recherche chez Oasis Security, souligne que les e-mails provenant d’une source vérifiée et suivant un modèle identique aux messages légitimes sont difficiles à distinguer pour les fournisseurs de messagerie. "Cela donne aux attaquants un avantage furtif pour contourner les protections standard", explique-t-il.
Comment se protéger ?
Face à cette menace, la meilleure défense reste la vigilance humaine. Windsor insiste sur l’importance de former les employés à reconnaître les e-mails suspects, même s’ils semblent légitimes. "Cela met en évidence la nécessité de former votre personnel pour qu’il puisse repérer ce type de menaces et protéger à la fois eux-mêmes et votre organisation", note-t-il.
En complément, il est possible de configurer des règles dans les scanners de sécurité des e-mails pour détecter les messages envoyés via des listes de distribution. Stephen Kowski, CTO de SlashNext Email Security+, recommande également l’utilisation d’outils de sécurité basés sur l’intelligence artificielle (IA) pour analyser les comportements utilisateurs et repérer les interactions suspectes. "Un moteur de détection proactive peut reconnaître les modèles de messagerie inhabituels ou les demandes qui échappent aux vérifications de base", explique-t-il.
Une menace en constante évolution
Cette campagne illustre l’ingéniosité croissante des cybercriminels, qui exploitent des fonctionnalités légitimes pour mener des attaques sophistiquées. Alors que les méthodes de phishing traditionnelles deviennent plus faciles à détecter, les attaquants innovent pour contourner les protections existantes. Les organisations doivent donc adopter une approche proactive, combinant formation, outils de sécurité avancés et vigilance accrue, pour se protéger contre ces menaces en constante évolution.