Avec la levée des restrictions COVID-19 et les employés commençant à retourner dans les bureaux, les pirates sont obligés de changer de tactique. Alors que les télétravailleurs ont été la cible principale des escrocs au cours des 18 derniers mois en raison du passage massif au travail à domicile rendu nécessaire par la pandémie, une nouvelle campagne de phishing tente d’exploiter ceux qui ont commencé à retourner sur le lieu de travail physique.

La campagne par e-mail, observée par Cofense, cible les employés avec des e-mails censés provenir de leur DSI les accueillant dans leurs bureaux.

L’e-mail semble assez légitime, arborant le logo officiel de l’entreprise dans l’en-tête, ainsi que signé par usurpation du CIO. La majeure partie du message décrit les nouvelles précautions et les changements apportés aux opérations commerciales que l’entreprise prend par rapport à la pandémie.

Si un employé était dupé par l’e-mail, il serait redirigé vers ce qui semble être une page Microsoft SharePoint hébergeant deux documents de la marque de l’entreprise. « Lorsque vous interagissez avec ces documents, il devient évident qu’ils ne sont pas authentiques et constituent plutôt des mécanismes de phishing pour collecter les informations d’identification du compte », explique Dylan Main, analyste des menaces au Phishing Defense Center de Cofense.

Cependant, si une victime décide d’interagir avec l’un ou l’autre des documents, un panneau de connexion apparaît et invite le destinataire à fournir ses informations de connexion pour accéder aux fichiers.

« Ceci est rare parmi la plupart des pages de phishing de Microsoft où la tactique consistant à usurper l’écran de connexion Microsoft ouvre un panneau d’authentification », a poursuivi Main. « En donnant aux fichiers l’apparence d’être réels et de ne pas rediriger vers une autre page de connexion, l’utilisateur peut être plus susceptible de fournir ses informations d’identification afin de visualiser les mises à jour. »

Une autre technique utilisée par les pirates est l’utilisation de fausses informations d’identification validées. Les premières fois que les informations de connexion sont saisies dans le panneau, le résultat sera le message d’erreur indiquant : « Votre compte ou mot de passe est incorrect. »

« Après…