En ciblant des pratiques populaires comme le partage de fichiers, les attaques s’avèrent être plus efficaces que jamais. Selon une étude Proofpoint, les utilisateurs ont ainsi aujourd’hui sept fois plus de chances de cliquer sur des liens malveillants de SharePoint Online et OneDrive hébergés sur des domaines Microsoft légitimes.

Au cours du premier semestre 2020, Proofpoint a détecté 5,9 millions d’emails qui contenaient des liens SharePoint Online et OneDrive frauduleux. Alors que ces messages représentaient environ 1 % de l’échantillon total de messages avec des URL malveillantes, ils représentaient plus de 13 % des clics des utilisateurs. Les utilisateurs étaient :

4 fois plus susceptibles de cliquer sur des liens SharePoint frauduleux
11 fois plus susceptibles de cliquer sur des liens OneDrive frauduleux

Toujours selon la même étude, les millions de messages frauduleux semblent avoir été émis de plus de 5,500 comptes Microsoft compromis.

Car le phishing sur SharePoint commence généralement par la compromission d’un compte dans le cloud. Une fois qu’il possède le contrôle du compte, l’attaquant charge un fichier malveillant et modifie ensuite les autorisations de partage du fichier en "Public" afin que le nouveau lien anonyme puisse être partagé avec n’importe qui. L’attaquant peut ensuite envoyer le lien par email ou le partager avec les contacts de l’utilisateur. C’est en ouvrant le fichier et en cliquant sur le lien malveillant intégré que le piège se referme.

« Pour se défendre contre les attaques hybrides tel que le phishing sur SharePoint et OneDrive, les entreprises doivent gagner en visibilité sur les vecteurs de menace que sont le courrier électronique et le cloud et adopter une approche globale de la chaîne d’attaque. Comprendre qui sont les personnes les plus ciblées est primordial. Entraîner les collaborateurs à éviter les pièges via des programmes de sensibilisation est également une clé essentielle pour limiter voire éviter le risque de fuite de données » explique Loïc Guézo, Directeur stratégie cybersécurité Proofpoint.

Cependant, SharePoint Online et OneDrive ne sont pas les seuls domaines de services de collaboration exploités par des cybercriminels, comme en témoigne ce classement des 10 premiers domaines visés, selon le nombre de clics sur des liens malveillants au cours du premier semestre. Parmi les plus actifs, on retrouve Sway, la nouvelle application de Microsoft dédiée à la création et au partage de contenus interactifs ou Googleapis, un service d’hébergement de fichiers que les cybercriminels utilisent pour des escroqueries à l’assistance technique.