16/12/2024

Actu Cybersécurité

Phishing : la fonction Smart Links de LinkedIn utilisée pour cibler des comptes Microsoft

Une nouvelle fois, les cybercriminels s'appuient sur la fonction Smart Links du réseau social LinkedIn pour diffuser des liens malveillants tout en contournant les systèmes de protection. La cible de cette campagne malveillante : les comptes Microsoft.

La fonction Smart Links de LinkedIn est accessible pour les entreprises intégrées à Sales Navigator. Grâce à un elle, un utilisateur peut partager plusieurs documents à partir d'un seul lien et obtenir diverses statistiques. Ce n'est pas la première fois que cette fonctionnalité est détournée par les cybercriminels. Par exemple, en septembre 2022, ils l'ont exploité dans une campagne de phishing reprenant l'identité des services postaux slovaques ("Slovenská pošta"). Nous en avions parlé dans cet article.

Cette campagne malveillante cible les comptes Microsoft

Cette fois-ci, l'entreprise Cofense a mis en ligne un rapport au sujet d'une nouvelle campagne qui s'est déroulée entre juillet et août 2023, lors de laquelle les pirates ont utilisé pas moins de 80 Smart Links et 800 objets d'e-mail différents (notifications de sécurité, paiements, documents, RH, etc...).

Les secteurs d'activités les plus ciblés par cette dernière campagne sont la finance, l'industrie et l'énergie, même si c'est une attaque globale qui n'est pas ciblée. À ce sujet, Cofense précise : "Malgré des volumes plus importants dans les secteurs de la finance et de l'industrie, on peut conclure que cette campagne n'était pas une attaque directe contre une entreprise ou un secteur en particulier, mais une attaque globale visant à collecter autant d'informations d'identification que possible en utilisant des comptes professionnels LinkedIn et des liens intelligents pour mener à bien l'attaque."

Source : Cofense

Dans le cas présent, Smart Links est utilisé pour effectuer une série de redirections afin d'amener l'utilisateur jusqu'à une fausse page de connexion aux services de Microsoft. Il s'agit d'une page de connexion par défaut, sans les personnalisations éventuelles qu'aurait pu effectuer l'entreprise au niveau de son tenant Microsoft 365. Si l'on prend l'exemple ci-dessous, tiré de cette campagne, l'URL devrait tout de suite alerter l'utilisateur.

Source : Cofense

Le Smart Links utilisé par les cybercriminels intègrent l'adresse e-mail de la victime. Bien que cette valeur soit obfusquée dans l'URL, elle sera récupérée par la fausse page de connexion aux services Microsoft, afin qu'elle soit visible. C'est une façon de mettre en confiance l'utilisateur car on reproduit en quelque sorte le fonctionnement normale de la page de connexion Microsoft. Une fois sur cette page, l'utilisateur n'a plus qu'à saisir son mot de passe pour "se connecter" : c'est là que les cybercriminels pourront récupérer le mot de passe de son compte Microsoft.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.