Windows 7: une fausse mise à jour vole les données d’Outlook

Une attaque d’hameçonnage demande aux employés d’entreprise de mettre à niveau leurs systèmes Windows 7 mais en réalité, ils sont redirigés vers une fausse page de connexion Outlook qui vole leurs informations d’identification.

Windows 7 est arrivé en fin de vie le 14 janvier et Microsoft a recommandé aux entreprises de passer à son système d’exploitation Windows 10. Alors que Windows 10 est sorti en 2015, les difficultés liées à la mise à niveau des machines des utilisateurs finaux signifient que de nombreuses entreprises sont à la traîne dans les mises à jour.

«Cela explique pourquoi les entreprises attendent, parfois pendant des années, avant de franchir le pas», a déclaré Kaleb Kirk, chercheur chez Cofense dans une analyse. «Malheureusement, ces retards donnent aux individus malveillant le temps d’affiner les techniques d’exploitation sur les anciens systèmes d’exploitation dépourvus de la dernière architecture.»

Les e-mails d’hameçonnage en question, intitulés «Re: Microsoft Windows Upgrade», utilisent le préfixe «re», qui, selon les chercheurs, peut susciter un sentiment d’urgence en amenant l’utilisateur à croire qu’il a manqué une communication préalable sur la mise à niveau.

L’e-mail indique aux destinataires: «Votre ordinateur de bureau Windows est obsolète et une mise à niveau est prévue pour le remplacement aujourd’hui» et inclut un calendrier (à noter, des majuscules et des espaces étranges sont utilisés, servant d’indicateur indiquant que l’e-mail n’est pas légitime). Ci-dessous, il indique aux utilisateurs: «Pour mettre à niveau Windows 10, ouvrez votre navigateur sur le site du projet de mise à niveau de Windows 10», pointant vers une URL. Ce lien redirige ensuite le destinataire vers la page de destination de l’hameçonnage.

windows 7

Sous l’URL, les e-mails incluaient des détails supplémentaires indiquant à l’utilisateur ce à quoi il peut s’attendre du processus de mise à niveau, et une liste à code couleur avec des éléments tels que: «Suivi des symptômes des employés COVID-19», «accéder à vos fiches de paie et P60» et « accéder au nouveau répertoire du personnel. »

Le problème dans l’e-mail d’hameçonnage est que la ligne de l’émetteur indique un compte compromis intitulé “Genadiy”, qui peut servir de signe d’avertissement pour la victime visée, car il ne provient pas du service informatique du domaine de l’entreprise. Les chercheurs ont déclaré que l’arnaque par hameçonnage serait plus crédible si l’expéditeur était plutôt plus générique.

«Nous donnons à ce pirate deux étoiles d’or pour la table avec des ordinateurs portables confectionnés, de faux numéros de série, un bâtiment, etc.», a déclaré Kirk. «Il applique un bon stratagème de sens de l’urgence en mettant ‘Aujourd’hui’ en surbrillance [mis en évidence dans le calendrier] et le corps ne présente pas de fautes de grammaire ou d’orthographe évidentes. Encore une fois, pas complètement horrible.

Si les destinataires cliquent sur l’URL dans l’e-mail, ils sont redirigés vers la page de destination d’hameçonnage, qui semble être une page de connexion Outlook Web App (OWA) demandant leur adresse e-mail, domaine/nom d’utilisateur et mot de passe.

Cependant, c’est là que l’arnaque par hameçonnage semble s’effondrer. Les chercheurs disent que la page «obtient un D- par manque d’effort», soulignant que les attaquants «ont gaspillé un certificat SSL valide sur une version terrible d’une page de connexion OWA».

windows 7

Si les destinataires choisissent d’ignorer les détails alarmant de cette fausse page de connexion Outlook et de saisir leurs informations d’identification, ils sont ensuite redirigés vers la page Microsoft concernant la prise en charge interrompue de Windows 7.

Une augmentation de l’hameçonnage avec le thème Windows 7 est à prévoir

Les chercheurs ont déclaré que les e-mails d’hameçonnage reposaient depuis longtemps sur la mise à niveau et la mise à jour en tant que leurres. En Avril, une campagne d’hameçonnage a persuadé les victimes avec un avis de sécurité de Cisco recyclé qui les mettait en garde contre une vulnérabilité critique. La campagne recommandait aux victimes de «mettre à jour», uniquement pour voler leurs informations d’identification pour la plate-forme de conférence Webex de Cisco.

Cependant, avec la fin de la prise en charge officielle de Windows 7, les entreprises peuvent s’attendre à une augmentation avec des versions meilleures et plus sophistiquées de ce type d’attaque d’hameçonnage, ont-ils déclaré.

«Nous examinons les e-mails d’hameçonnage qui contournent les passerelles commerciales toute la journée, tous les jours», a déclaré Kirk. «La plupart sont regroupés ensemble hâtivement. Ce leurre a besoin d’améliorations, mais ce n’est pas complètement horrible…. Verrons-nous une augmentation de ce leurre d’hameçonnage? Cela dépendra du taux de réussite de ce thème. Le temps nous le dira.”

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x