Des centaines de comptes Microsoft piratés, alerte du FBI.

Une campagne de phishing aurait compromis des centaines de comptes Microsoft 365, et le FBI met en garde contre une nouvelle plateforme de phishing appelée Kali365. Selon le FBI, Kali365 permet aux cybercriminels d’obtenir des jetons d’accès à Microsoft 365, contournant ainsi l’authentification multifacteur (MFA).

Une campagne de phishing particulièrement sophistiquée aurait compromis des centaines de comptes Microsoft 365. Le FBI met en garde contre une nouvelle plateforme de phishing en tant que service (PhaaS) nommée Kali365.

Ces plateformes permettent aux cybercriminels de louer ou d’acheter des kits de phishing complets, créés par d’autres acteurs malveillants, afin de mener leurs propres campagnes d’attaque.

Le phishing est une technique qui consiste à se faire passer pour une personne de confiance ou un organisme afin d’inciter les victimes à divulguer des informations sensibles telles que leurs identifiants de connexion, leurs données bancaires ou d’autres renseignements personnels.

### Kali365 : le phishing à la portée de tous les hackers

Dans le cas de Kali365, la plateforme cible principalement les utilisateurs de Microsoft 365. Selon le FBI, elle permet aux cybercriminels d’obtenir des jetons d’accès à Microsoft 365, ce qui permet de contourner l’authentification multifacteur (MFA).

Les attaquants peuvent ainsi prendre le contrôle des comptes des utilisateurs de Microsoft 365 sans avoir besoin d’intercepter les identifiants de connexion de leurs victimes. Comme l’indique le FBI dans un communiqué, « Kali365 a principalement été distribué via Telegram ».

L’agence fédérale de police américaine souligne également que la plateforme facilite le travail des cybercriminels moins expérimentés. Elle leur fournit en effet des outils prêts à l’emploi, tels que des campagnes de phishing automatisées et des tableaux de bord permettant de suivre les cibles en temps réel.

### Comment les pirates s’emparent des comptes Microsoft 365

Pour piéger leurs victimes, les attaquants envoient des courriels qui se présentent comme un service de partage de documents ou de productivité en ligne. Le message contient un code d’authentification et invite l’utilisateur à se rendre sur une véritable page de vérification de Microsoft pour le saisir.

Comme la page de Microsoft est légitime, la victime est moins encline à se méfier. Cependant, en entrant le code, elle accorde l’accès à son compte Microsoft 365 à un appareil contrôlé par les cybercriminels.

Les attaquants peuvent alors récupérer les jetons d’authentification associés et accéder à divers services Microsoft 365 tels qu’Outlook, Teams ou OneDrive sans avoir besoin du mot de passe de la victime.

### Phishing : les précautions à prendre

Alors, comment se protéger de cette nouvelle campagne de phishing ? Les mêmes précautions que celles à adopter au quotidien sur Internet demeurent pertinentes. Il est conseillé de toujours se méfier des mails inattendus et de ne pas cliquer sur des liens suspects.

Il est également recommandé de vérifier l’authenticité des demandes reçues avant de communiquer des informations sensibles ou de se connecter à l’un de ses comptes.