Phishing dans Microsoft Teams et comment s’en prévenir

Exemples d’attaques majeures de phishing sur Microsoft Teams

Midnight Blizzard

Fin 2023, Microsoft a publié un billet de blog indiquant que le groupe d’acteurs malveillants Midnight Blizzard, identifié comme soutenu par l’État russe, lançait des campagnes de phishing sur Teams pour voler des identifiants d’utilisateurs.

Cette attaque complexe impliquait l’infiltration de Teams via des tenants Microsoft 365 déjà compromis et la création de nouveaux noms de domaine ressemblant à ceux d’organisations de support technique légitimes. Les acteurs malveillants utilisaient ensuite des tactiques d’ingénierie sociale pour tenter de tromper les utilisateurs et d’obtenir leurs identifiants via des messages Teams.

Storm-0324

Une autre attaque majeure provenait du groupe Storm-0324. Microsoft a observé ce groupe envoyant des leurres de phishing via des chats Microsoft Teams avec des liens vers des fichiers malveillants sur SharePoint. Le groupe ciblait les entreprises utilisant Teams avec un accès externe activé.

Storm-0324 agit comme un distributeur de charges utiles pour les opérateurs de ransomware, utilisant des messages de notifications de paiement et de facturation apparemment légitimes pour inciter les victimes à télécharger des charges utiles.

Comment se défendre contre les attaques de phishing sur Microsoft Teams

Microsoft recommande diverses techniques pour atténuer et réduire le risque de compromission :

• Déployer des méthodes d’authentification résistantes au phishing.
• Appliquer des contrôles d’accès spécifiques pour restreindre les méthodes d’authentification utilisées avant qu’un utilisateur ne puisse accéder aux ressources numériques de l’entreprise.
• Activer l’audit Microsoft 365 pour obtenir une visibilité sur les tentatives de phishing potentielles.
• Limiter l’accès aux ressources aux appareils professionnels connus.
• Implémenter les contrôles d’accès conditionnel et les protections dans Microsoft Defender pour les applications cloud nécessitant l’authentification à facteurs multiples (MFA), pour les téléchargements de fichiers, et utilisant l’IA pour identifier et prévenir les menaces inconnues ou suspectes.
• Configurer la fonctionnalité Safe Links dans Microsoft Defender pour Office 365 pour vérifier la réputation de chaque lien avant de permettre l’accès.
• Auditer et limiter le nombre de comptes de service de niveau administrateur.

Malgré les protections ajoutées par Microsoft pour Teams, les cybercriminels cherchent constamment des moyens de contournement. C’est pourquoi l’éducation des utilisateurs sur les activités de phishing et d’ingénierie sociale – et comment les identifier et les éviter dans Teams – reste cruciale.

Par exemple, Microsoft a implémenté plusieurs notifications pour identifier les communications externes et avertir les utilisateurs d’être prudents quant à ce qu’ils partagent avec des utilisateurs non internes. Ces notifications passent souvent inaperçues, sauf si les utilisateurs ont reçu la formation appropriée.

Futur du phishing sur Microsoft Teams

De nombreuses entreprises commencent à utiliser Teams plus que l’email standard. Bien que le niveau d’éducation sur le phishing par email soit bien établi, il n’en va pas encore de même pour l’utilisation de Teams. Pour les organisations en retard dans ce domaine, il est temps de créer une documentation et une formation pour les employés afin de mieux repérer, éviter et signaler les comportements suspects sur Teams. Cela réduira considérablement le risque global d’infections par logiciels malveillants et de vol d’identifiants de connexion.