Au premier trimestre 2021, les cybercriminels ont envoyé 52 millions de messages malveillants en utilisant des services de stockage tels qu’Office 365, Azure, OneDrive, SharePoint, G-Suite et Firebase.
Au cours de cette pandémie, les cybercriminels ont tiré parti de la transition rapide vers des services professionnels basés sur le cloud en dissimulant leurs escroqueries de phishing par e-mail derrière des services omniprésents et de confiance de Microsoft et Google.
Les chercheurs en sécurité de Proofpoint ont découvert 7 millions d’e-mails malveillants envoyés depuis Microsoft 365 et un nombre stupéfiant de 45 millions envoyés depuis l’infrastructure de Google au cours des seuls trois premiers mois de 2021. En plus de cela, ils ont déclaré que les cybercriminels utilisaient Office 365, Azure, OneDrive, SharePoint, G-Suite et le stockage Firebase afin d’envoyer des e-mails de phishing et d’héberger des attaques.
Selon le rapport, « le volume de messages malveillants provenant de ces services cloud de confiance a dépassé celui de n’importe quel botnet en 2020, et la réputation de confiance de ces domaines, notamment outlook.com et sharepoint.com, augmente la difficulté de détection pour les défenseurs ».
Étant donné qu’une seule violation de compte peut potentiellement fournir un accès généralisé, ProofPoint a estimé que 95 % des organisations ont été ciblées pour la compromission de comptes cloud, et que plus de la moitié d’entre elles ont réussi. En outre, plus de 30 % des organisations qui ont été compromises « ont connu une activité post-accès, notamment la manipulation de fichiers, le transfert d’e-mails et l’activité OAuth ».
95 % des organisations ont été ciblées par le cloud phishing
Une fois que les hackers disposent d’informations d’identification, ils peuvent rapidement entrer et sortir de divers services pour envoyer des e-mails de phishing plus convaincants.
Proofpoint a offert de nombreux exemples de campagnes qui ont tenté de tromper les utilisateurs en récupérant leurs coordonnées ou en livrant des logiciels malveillants tout en se cachant derrière Microsoft et Google.
Selon l’équipe de Proofpoint, un message comportait une URL Microsoft SharePoint censée conduire le destinataire à un document détaillant les directives liées à la COVID-19. Ce message malveillant a été envoyé à 5 000 destinataires dans les secteurs du transport, de la fabrication et des services aux entreprises.
Une autre frauduleuse récente campagne d’hameçonnage d’identifiants de vidéoconférence a utilisé le nom de domaine. onmicrosoft.com. Les messages comprennent une URL qui redirige vers une fausse page d’authentification de webmail conçue pour voler les informations d’identification des utilisateurs. Cette campagne de faible volume a consisté en environ 10 000 messages destinés aux consommateurs des secteurs de la fabrication, de la technologie et des services financiers.
Les recherches de Proofpoint montrent clairement que les hackers utilisent les outils de communication sur le cloud les plus populaires pour diffuser des messages malveillants et cibler les personnes utilisant les infrastructures Microsoft et Google. Si l’on ajoute à cela l’augmentation du nombre de ransomware, de chaînes d’approvisionnement et de violations de comptes cloud, la protection avancée des e-mails centrée sur les personnes doit continuer à être une priorité absolue pour les responsables de la sécurité.
