Après avoir visé des milliers d’entreprises avec une campagne de phishing, des hackers ont oublié de protéger les données recueillies qui ont été indexées par Google. Au total plus d’un millier de comptes Microsoft Office 365 professionnels ont été exposés sur le Web.


au sommaire


    Contrairement aux idées reçues, les hackers ne sont pas infaillibles en matière de cybersécurité. Des milliers d'entreprises ont été visées par une campagne de phishing (hameçonnagehameçonnage). L'opération a été découverte par l'entreprise de cybersécurité Check Point grâce à une simple recherche GoogleGoogle. Le moteur de recherche a pu indexer la base de données contenant les identifiants volés car elle était exposée sur le Web sans la moindre protection.

    L'attaque a débuté au moins d'août et visait des comptes professionnels de Microsoft Office 365. Les hackers ont envoyé des e-mails reproduisant une notification de scanner Xerox, avec un fichier HTML en pièce jointe. En l'ouvrant, la victime voyait alors une image « floutée » avec une demande de mot de passe et son adresse e-mail déjà remplie pour ne pas éveiller les soupçons.

    Un exemple de faux formulaire utilisé dans la campagne de phishing. © Check Point
    Un exemple de faux formulaire utilisé dans la campagne de phishing. © Check Point

    Une attaque basée sur des serveurs WordPress compromis

    Le faux formulaire d'identification utilisait du Javascript, et une page PHP hébergée sur des serveurs WordPressWordPress compromis pour contourner les systèmes de sécurité. Le mot de passe saisi par la victime était ainsi vérifié auprès des serveurs de MicrosoftMicrosoft. Une fois validées, les informations étaient enregistrées sur un serveur et l'utilisateur était redirigé vers une vraie page Office 365Office 365.  

    En compilant les données dans un fichier non chiffré et accessible sur le Web, les hackers ont dévoilé les informations de connexion de plus d'un millier de comptes professionnels. Une analyse des données a montré qu'un nombre important de victimes travaillaient dans les domaines de la constructionconstruction et de l'énergieénergie. Ce n'est pas la première attaque de ce groupe de hackers, puisqu'une campagne de phishing similaire avait eu lieu au mois de mai 2020. Rappelons que, pour éviter de se faire duper par ce genre d'attaques, il faut toujours se méfier des liens dans les e-mails et des pièces jointes.