Cette arnaque utilisant de «faux messages vocaux» cible les Suisses
L'Office fédéral de la cybersécurité (OFCS) met en garde contre une nouvelle campagne de phishing particulièrement sophistiquée. Depuis plusieurs jours, de nombreux internautes reçoivent des courriels annonçant la réception d'un message vocal. En réalité, ces e-mails servent à voler des mots de passe ou à installer des logiciels malveillants sur les ordinateurs des victimes.
Les escrocs reproduisent presque à l'identique les notifications envoyées habituellement par Microsoft 365 ou OneDrive for Business. Les courriels affichent les logos officiels de Microsoft et prétendent informer l'utilisateur qu'un nouveau message vocal («New Voicemail») l'attend.
Pour rendre l'arnaque encore plus crédible, les cybercriminels ajoutent un faux numéro de téléphone, une date de réception et même la durée supposée du message vocal. Mais, parfois, l'arnaque va loin dans le sordide:
Deux méthodes pour piéger les victimes
L'OFCS distingue actuellement deux variantes de cette attaque:
- La première repose sur une pièce jointe piégée. Le courriel contient un fichier compressé au format ZIP, présenté comme un enregistrement audio. En réalité, l'ouverture du fichier installe un logiciel malveillant, souvent un «infostealer», capable de dérober des mots de passe, des cookies de connexion ou encore des données personnelles.
- La seconde variante renvoie vers un faux site Microsoft. En cliquant sur le lien ou sur un bouton invitant à écouter le message vocal, l'utilisateur arrive sur une page de connexion qui imite parfaitement celle de Microsoft. Mais avant de pouvoir écouter le prétendu message, il est invité à saisir son adresse e-mail et son mot de passe Microsoft. Ces identifiants sont alors directement récupérés par les pirates.
Un simple clic peut compromettre toute une entreprise
L'office fédéral souligne que les conséquences peuvent dépasser largement le vol d'un seul compte. Une fois connectés à Microsoft 365, les cybercriminels peuvent accéder aux e-mails, à OneDrive, à SharePoint ou encore à Teams. Ils utilisent ensuite directement et discrètement la boîte de messagerie piratée pour envoyer de nouveaux messages frauduleux à tous les contacts de la victime, rendant l'attaque beaucoup plus crédible. L'OFCS développe:
Les pirates peuvent également analyser les échanges professionnels afin d'identifier des paiements en cours, des projets sensibles ou l'organisation interne d'une entreprise. Ces informations servent ensuite à lancer des escroqueries ciblées:
En outre, si un logiciel malveillant est installé, les données volées peuvent ensuite être revendues sur le darknet et réutilisées plusieurs semaines ou plusieurs mois plus tard lors de nouvelles attaques.
Les conseils de l'OFCS
Pour éviter de tomber dans le piège, l'Office fédéral de la cybersécurité recommande de ne jamais ouvrir une pièce jointe ZIP inattendue. Les véritables messages vocaux sont généralement envoyés sous forme de fichiers audio (.mp3 ou .wav), et non d'archives compressées.
L'OFCS invite également les utilisateurs à ne jamais cliquer sur les liens contenus dans ce type de notification et à ne jamais saisir leurs identifiants Microsoft après avoir suivi un lien reçu par e-mail. Enfin, les personnes utilisant Microsoft Teams ou Microsoft 365 dans leur entreprise sont invitées à consulter directement leurs messages vocaux depuis l'application officielle, plutôt que via une notification reçue par courrier électronique. (hun)