Les cybercriminels tentent d’inciter les utilisateurs de Microsoft Dynamics 365 Customer Voice à donner leurs identifiants de connexion avec une nouvelle campagne de phishing sournoise, ont averti les experts,
Un rapport d’Avanan a révélé que les acteurs de la menace enverraient un e-mail de notification via Dynamics 365 Customer Voice, indiquant que le client avait laissé un message vocal. L’e-mail lui-même ressemblant beaucoup à un message vocal important du client et le lien étant légitime, cliquer dessus est « l’étape naturelle », ont déclaré les chercheurs.
Dynamics 365 Customer Voice est l’outil de gestion de la relation client (CRM) de Microsoft que les entreprises utilisent pour sonder les clients, surveiller et organiser les commentaires des clients et transformer les données des commentaires en informations exploitables. De plus, les entreprises peuvent l’utiliser pour interagir avec leurs clients par téléphone. Les données générées par ces interactions sont stockées, ce que les escrocs tentent d’exploiter.
Personne ne bloque Microsoft
Mais le bouton « Lire la messagerie vocale » redirige en fait les victimes vers une page de destination de phishing qui ressemble presque à une page de connexion de Microsoft. Si les utilisateurs tentent de se connecter, leurs informations d’identification (s’ouvre dans un nouvel onglet) finirait entre les mains des fraudeurs.
« Les pirates utilisent continuellement ce que nous appelons l’autoroute statique pour atteindre les utilisateurs finaux », expliquent les chercheurs. « En bref, c’est une technique qui exploite des sites légitimes pour passer les scanners de sécurité. La logique est la suivante : les services de sécurité ne peuvent pas carrément bloquer Microsoft, il serait impossible de faire quoi que ce soit. Au lieu de cela, ces liens provenant de sources fiables ont tendance à être automatiquement fiables. Cela a créé une avenue pour les pirates informatiques pour s’insérer.
La méthode consistant à abuser de services légitimes pour distribuer des messages malveillants gagne du terrain ces derniers temps, ont ajouté les chercheurs, affirmant avoir vu Facebook, PayPal, QuuckBooks et d’autres être abusés à cette fin.
« Il est incroyablement difficile pour les services de sécurité de déterminer ce qui est réel et ce qui se cache derrière le lien légitime. De plus, de nombreux services voient un bon lien connu et, par défaut, ne le scannent pas. Pourquoi scanner quelque chose de bien ? C’est ce que les pirates espèrent », disent-ils.
L’attaque est relativement sophistiquée en raison du fait que le lien de phishing réel n’apparaît pas avant l’étape finale. « Il serait important de rappeler aux utilisateurs de regarder toutes les URL, même lorsqu’elles ne se trouvent pas dans le corps d’un e-mail », préviennent-ils.