Des employés reçoivent des mails piégés leur informant que leur mot de passe de compte Microsoft 365 va expirer. Les pirates se servent de YouTube pour tromper la vigilance des services de cybersécurité.

Une nouvelle campagne de phishing est en cours. Repérée par la société de cybersécurité Vade le 4 avril 2023, elle vise des entreprises sur le sol français avec des adresses mails personnalisées pour chaque cible. Plus de 1 000 messages piégés ont déjà été envoyés. Certains parviennent à accéder à l’adresse des cadres, voire du PDG. « L’attaquant reprend le nom de l’entreprise dans l’expéditeur. Parfois, les malfaiteurs ajoutent des termes comme ‘it’ pour usurper l’équipe informatique » précise Antoine Morel, expert en cybersécurité chez Vade, à Numerama.

L’employé reçoit un mail lui informant que son mot de passe Microsoft 365 va expirer, l’esthétique du service professionnel est parfaitement copiée. Jusque-là, c’est un schéma classique.

La fausse notification d'expiration de mot de passe. // Source : Vade
La fausse notification d’expiration de mot de passe. // Source : Vade

Un lien est indiqué pour garder ou changer le mot de passe actuel. C’est là où l’opération devient plus sophistiquée, puisque les malfaiteurs se servent d’une faille de YouTube pour utiliser le nom de domaine de la plateforme vidéo comme relais entre le mail et la page de phishing. Un lien YouTube bien réel est caché dans le message. Une fois que l’on clique dessus, on est directement redirigé vers une copie de Microsoft. « Cette technique permet d’intégrer un hyperlien frauduleux et potentiellement repérable par le filtre anti-spam du mail à un URL YouTube légitime » ajoute Antoine Morel.

Les malfaiteurs sont allés jusqu’à intégrer un captcha de Cloudflare pour rendre leur piège encore plus tangible. La victime, invitée à entrer son adresse mot de passe, ne recevra naturellement aucun mail en retour.

La dernière page où la victime va rentrer son mot de passe. // Source : Vade
La dernière page où la victime va rentrer son mot de passe. // Source : Vade

Un nom de domaine hébergé en Russie

Les liens YouTube sont utilisés depuis longtemps pour tromper les algorithmes de sécurité des services mails. Malgré les mises à jour de la plateforme vidéo, les pirates parviennent encore à trouver de nouvelles méthodes. Vade constate par ailleurs dans son enquête que le site frauduleux intégré n’a pas été pour l’instant catégorisé comme malveillant par Google ou d’autres sociétés en cybersécurité. Il n’y aucun logiciel malveillant derrière ces mails, les données sont « simplement » envoyées aux pirates. Ces derniers les revendront ou s’en serviront pour une future attaque.

Le nom de domaine est hébergé sur un serveur en Russie. Généralement, les malfaiteurs évitent de dévoiler leur localisation, mais cela peut aussi signifier que les pirates sont bien russes et ne se fatiguent même plus à cacher leur emplacement.

Si vous tombez sur des mails d’expiration de mot de passe de votre entreprise et que vous avez un doute sur son origine, commencez par regarder le nom de domaine du site sur lequel vous allez entrer votre combinaison. Il est recommandé aussi d’envoyer un mail directement à votre service informatique pour demander les délais d’expirations et si le dernier message est légitime. Cela demande quelques minutes, mais évite de ruiner sa boite.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !