Le FBI a émis un avertissement urgent aux utilisateurs de Microsoft après avoir découvert un nouveau service de piratage capable de contourner les mesures de sécurité courantes.
Dans un communiqué d’intérêt public, l’agence a déclaré que les cybercriminels utilisent une plate-forme connue sous le nom de Kali365 pour accéder aux comptes Microsoft 365 via des attaques de phishing sophistiquées.
Les pirates envoient aux victimes des e-mails qui semblent provenir de services de confiance et les dirigent vers une page de connexion Microsoft légitime. Lorsque la victime suit les instructions, les attaquants peuvent obtenir des jetons d’authentification spéciaux prouvant que l’utilisateur est déjà connecté.
Ces jetons agissent comme un ticket numérique, permettant aux pirates d’accéder à Outlook, Teams, OneDrive et d’autres services Microsoft sans saisir constamment de mot de passe.
Étant donné que les jetons sont émis après une connexion réussie, les cybercriminels peuvent souvent contourner l’authentification à deux facteurs et conserver l’accès aux comptes pendant de longues périodes, selon le FBI.
Le FBI exhorte les organisations à bloquer la fonctionnalité d’authentification de Microsoft connue sous le nom de « flux de code de périphérique », que les attaquants utilisent pour accéder aux comptes.
Cependant, les entreprises doivent d’abord examiner la manière dont cette fonctionnalité est utilisée en interne pour garantir que les services et flux de travail légitimes ne sont pas perturbés.
Les utilisateurs sont également invités à se méfier des e-mails frauduleux en vérifiant soigneusement les adresses des expéditeurs, les liens et le texte des messages à la recherche de signes de tentatives de phishing.
Les pirates envoient aux victimes des e-mails qui semblent provenir de services de confiance et les dirigent vers une page de connexion Microsoft légitime. Lorsque la victime suit les instructions, les attaquants peuvent obtenir des jetons d’authentification spéciaux qui prouvent que l’utilisateur est déjà connecté.
“Kali365 abaisse la barrière à l’entrée, en permettant aux attaquants moins techniques d’accéder aux leurres de phishing générés par l’IA, aux modèles de campagne automatisés, aux tableaux de bord de suivi des individus/entités en temps réel et aux capacités de capture de jetons OAuth”, a déclaré le FBI.
Kali365 est vendu aux escrocs via un abonnement de 250 $/mois.
Les cybercriminels commencent leur attaque en envoyant des e-mails de phishing qui semblent provenir de services de productivité cloud ou de partage de documents fiables. Les messages contiennent un code de périphérique et des instructions qui dirigent les victimes vers une page de vérification Microsoft légitime.
Croyant que la demande est authentique, les victimes saisissent le code sur le site Web de Microsoft. Ce faisant, ils autorisent involontairement l’appareil de l’attaquant à accéder à leur compte.
Les attaquants téléchargent ensuite des jetons d’authentification spéciaux, appelés jetons d’accès et d’actualisation OAuth, qui leur donnent accès au compte Microsoft 365 de la victime.
Une fois les jetons volés, les pirates peuvent conserver l’accès aux services Microsoft tels que Outlook, Teams et OneDrive sans avoir besoin du mot de passe de la victime ni effectuer de vérifications d’authentification multifacteur supplémentaires.
Le FBI a également recommandé de mettre en œuvre des politiques empêchant les utilisateurs de transférer l’authentification des ordinateurs vers les appareils mobiles, une méthode qui peut être utilisée à mauvais escient par les cybercriminels lors d’une attaque.
Pour les organisations qui ne peuvent pas désactiver complètement le flux de code d’appareil, le FBI conseille d’exempter les comptes d’accès d’urgence.
Cela peut contribuer à garantir que les administrateurs ne se retrouveront pas sans accès aux systèmes critiques si les contrôles de sécurité sont renforcés.
Le FBI a exhorté les utilisateurs à signaler les e-mails de phishing, les tentatives de connexion suspectes et tout appareil non autorisé ou session active associé à leurs comptes au Internet Crime Complaint Center.
L’agence a également averti les utilisateurs de ne pas cliquer sur des liens contenant des codes d’accès qu’ils n’ont pas demandés.
Rejoignez la discussion
Les entreprises technologiques devraient-elles faire davantage pour protéger les utilisateurs contre le piratage ?
