Protégez vos identités avec des authentifications multifactorielles, ainsi, un simple login/mot de passe ne suffit plus pour se faire passer pour le vrai expéditeur.

Que ce soit Microsoft Authenticator (oubliez les SMS dont les puces GSM sont trop facilement falsifiables), des clés de type Yubicon ou autres cartes à puce, imposez le MFA partout pour ne pas vous faire usurper votre identité.

Ce matin, je reçois un email « légitime » d’un fournisseur « légitime ».
J’ai bien failli cliquer sur le lien, mais comme le lien n’est pas affiché, je le survole pour voir ce qu’il en est de l’URL véritable.

Un lien vers OneDrive 1drv.ms … Ma curiosité est piquée
Une petite requête PowerShell Invoke-WebRequest pour voir ce que l’on essaie de me faire ouvrir – Ca ressemble à OneNote ???

OK, j’y vais franco avec une VM isolée car le décodage des scripts n’est pas aisé

  • le lien du mail m’envoie vers un onedrive officiel (bien joué, et non bloqué par les EDR)
    Email reçu
  • le onedrive me présente effectivement un OneNote avec une image et un lien « Voir le document » (la ficelle est un peu grosse, je serai personnellement déjà passé autrement)
    Elémént OneNot vers le site de hacking
  • et là ça me demande mes credentials Office 365 sur un site calm-smoke-7407.on.fleek.co, après un accept de « Not robot » pour tromper encore les EDR
    Site de hacking

La ficelle est vraiment grosse, mais sur un téléphone où l’on ne voit pas les URL, ça pourrait le faire.

Bref:
– ne laisser pas mémoriser vos mots de passes dans vos navigateurs
– exigez une authentification supplémentaire pour ne pas vous faire usurper votre identité
– ces règles de base sont d’autant plus vraies pour protéger les VIP et autres administrateurs à droits privilégiés

Pour information:

  • Le fournisseur est sur Office 365 et dispose donc de l’authentification multifactorielle s’il le souhaite
  • Ses enregistrements SPF et DMARC sont bien paramétrés, mais la liste des SPF est bien trop longue – le hacker est peut-être passé par là
Retour en haut