Le phishing des identifiants reste une technique répandue lors des campagnes de courriers malveillants, et maintenant Outlook Web Access vient rejoindre les autres comptes Webmail dans la liste des cibles privilégiées. Les documents cloud étant de plus en plus utilisés, les auteurs de phishing en profitent pour leurrer les destinataires de leurs messages et renforcer leur crédibilité et leur efficacité.

Pour optimiser son potentiel malveillant, le document frauduleux prend en charge des services Webmail supplémentaires, tels que Yahoo, Hotmail, AOL et même une option « autre » dans laquelle la victime peut entrer ses identifiants professionnels.

Les pirates peuvent ainsi accroître la portée de leur attaque en élargissant le spectre des identifiants visés.

Normalement, le subterfuge cesse lorsque la victime a saisi ses identifiants, mais dans ce cas les pirates poussent le vice jusqu’à afficher un document réel après l’identification.

Grâce à cette technique, l’utilisateur a moins de chance de s’apercevoir tout de suite du stratagème, ce qui laisse plus de temps aux pirates pour exploiter les identifiants volés.

Ces quelques heures supplémentaires offrent aux criminels un délai plus que suffisant pour tirer profit des identifiants afin de délivrer une nouvelle vague de messages.

Le lancement d’une campagne de phishing des identifiants à partir de comptes Google compromis permet également, pour un effort relativement mineur, d’obtenir des ressources ciblées et très fiables. En effet, la récupération des contacts de la victime permet d’enrichir la liste des destinataires visés par l’étape suivante de la campagne.

Une variante de cette technique utilise un faux document Dropbox pour récupérer les identifiants du service de partage de documents cloud. Comme lors du phishing des identifiants Google Apps, la page de connexion présentée au destinataire est parfaitement crédible :

Cet exemple provient de la campagne de phishing des documents cloud lancée par un pirate qui semble privilégier une échelle d’action limitée. En effet, il diffuse généralement moins de 3 URL dans 30 à 50 messages par semaine, souvent en ciblant 10 entreprises, avec un maximum d’une trentaine.

Dans un premier temps, les cibles étaient des sociétés travaillant dans la publicité et l’hébergement, l’objectif étant d’atteindre par la suite des entreprises de la finance.

Récemment, le criminel semble avoir changé de stratégie et se montrer pus opportuniste en choisissant moins ses victimes. Comme pour souligner la valeur relative de cette technique, le vol des adresses électroniques aux cadres des sociétés de la publicité et de l’hébergement a permis – intentionnellement ou non – de cibler des professionnels de la finance à travers plusieurs vagues de courriers électroniques de phishing.

Le piratage au moyen des services de documents cloud et des comptes d’applications multiplie la valeur d’un compte de courrier électronique piraté. Il permet d’aller encore plus loin en créant des campagnes qui sont immédiatement plus ciblées et plus efficace. Le phishing des identifiants à partir de documents cloud va devenir de plus en plus fréquent.

En effet, les pirates l’utilisent pour échapper aux systèmes de défense qui, encore trop souvent, se concentrent sur des techniques bien connues et faciles à contrer.