Incidents associés
Gamma, un logiciel de présentation basé sur l'IA relativement récent, est victime d'attaques de phishing ultra-convaincantes qui se font passer pour SharePoint de Microsoft et visent à voler les identifiants de connexion.
Des chercheurs en cybersécurité d'Abnormal ont repéré ces attaques et ont décrit le processus de phishing comme « si perfectionné qu'il semble légitime à chaque étape ».
L'attaque commence par un e-mail de phishing générique et concis, envoyé depuis un compte de messagerie légitime, mais compromis. Cela permet aux escrocs de contourner les contrôles d'authentification standard tels que SPF, DKIM et DMARC et d'envoyer l'e-mail directement dans la boîte de réception de la cible.
Usurpation de SharePoint
L'e-mail en lui-même n'a rien d'extraordinaire : il contient une pièce jointe PDF qui n'est en réalité qu'un lien hypertexte menant à une présentation hébergée sur Gamma, un outil de création de présentations en ligne basé sur l'IA.
La présentation présente le logo de l'organisation usurpée et un message du type « Voir le PDF » ou « Consulter les documents sécurisés ».
Le message se présente sous la forme d'un lien hypertexte menant à une page d'accueil intermédiaire contenant une fausse image de marque Microsoft et un Cloudflare Turnstile. De cette façon, les escrocs s'assurent que ce sont de véritables humains, et non des outils de sécurité automatisés de base, qui accèdent au site.
Si la victime clique sur l'appel à l'action, elle est redirigée vers une page d'hameçonnage qui se fait passer pour le portail de connexion Microsoft SharePoint.
C'est là que le vol a lieu, puisque les victimes sont ensuite invitées à se connecter avec leurs identifiants Microsoft.
La saisie d'identifiants erronés génère une erreur, ce qui amène les chercheurs à conclure que les attaquants disposent d'une sorte d'adversaire intermédiaire leur permettant de vérifier les identifiants en temps réel.
Abnormal explique que cette attaque est unique, principalement parce que Gamma est un « nouveau venu » sur le marché, n'existant que depuis quelques années.
« Les organisations sont de plus en plus familiarisées avec les attaques de phishing par partage de fichiers en général, et certaines ont même commencé à intégrer des exemples dans leurs formations de sensibilisation à la sécurité. Cela dit, il est fort probable que le pourcentage d'entreprises ayant mis à jour leur formation en cybersécurité pour inclure ce type de phishing soit faible, et le nombre d'entreprises utilisant des exemples d'attaques autres que celles exploitant des marques connues comme Docusign et Dropbox est encore plus faible », ont déclaré les chercheurs.
« Par conséquent, ce type d'attaque pourrait ne pas déclencher d'alarmes incitant les employés à une surveillance accrue, contrairement à une attaque exploitant Canva ou Google Drive. »