Microsoft met en garde ses clients Office 365 contre une vaste campagne de phishing visant à voler des noms d'utilisateur et des mots de passe.
L'équipe Microsoft 365 Defender Threat Intelligence a publié ses conclusions sur son blog de sécurité, qui détaille comment les attaques sont menées et conseille les gens sur ce qu'ils peuvent faire pour se défendre.
L'attaque fonctionne en dirigeant les utilisateurs d'Office 365 vers une série de liens et de redirections vers une page Google reCAPTCHA. Les utilisateurs sont redirigés vers une fausse page de connexion où leurs informations d'identification sont volées, les laissant compromises.
Selon l'équipe de renseignement, la vérification Google reCAPTCHA ajoute un faux sentiment de légitimité aux utilisateurs qui sont amenés à penser que l'ensemble du processus est correct.
Les hackers s'appuient sur un outil marketing connu sous le nom de redirection ouverte, un e-mail avec un lien qui redirige l'utilisateur vers un autre domaine. Les redirecteurs ouverts ont été abusés dans le passé pour diriger les utilisateurs vers des sites malveillants.
The Intelligence Team conseille aux utilisateurs de survoler le lien dans un e-mail pour vérifier la destination avant de cliquer. L'idée est que l'utilisateur peut voir si le nom de domaine est légitime et associé à un site Web qu'il connaît et auquel il fait confiance.
Google, en revanche, a une opinion différente. Dans un article sur leur Bughunter University, un site dédié à la recherche de bogues et de problèmes, Google répond aux allégations selon lesquelles les redirecteurs ouverts ne sont pas sûrs.
Le message indique que bien que les redirecteurs ouverts eux-mêmes ne soient pas une vulnérabilité, il admet qu'ils peuvent être abusés pour d'autres vulnérabilités. La société n'est pas d'accord avec le conseil de survoler le lien avant de cliquer, car ce n'est pas toujours le plus précis et les utilisateurs n'examinent généralement pas l'URL après le déplacement.
Cependant, Google ne propose aucun conseil de défense autre que de les contacter.