Nous recevons tellement de spams que nous avons développé une immunité naturelle contre les arnaques évidentes. Lorsqu’un numéro inconnu vous demande de l’argent par SMS ou qu’un email suspect vous alerte d’un virus informatique, vous le supprimez simplement et passez à autre chose.
Mais que faire si le message provient d’une entreprise en qui vous avez entièrement confiance et d’une adresse email officielle et authentique ?
Microsoft ciblé : une attaque sophistiquée utilisant des emails légitimes
C’est ce qui arrive actuellement aux utilisateurs de Microsoft. Des personnes malveillantes ont trouvé un moyen d’utiliser un canal email légitime de Microsoft pour diffuser des messages de phishing. L’arnaque est si bien déguisée techniquement qu’elle peut tromper même les utilisateurs les plus vigilants.
Les escrocs envoient des emails depuis l’adresse réelle msonlineservicesteam@microsoftonline.com. Ce n’est pas un doublon ou un nom similaire – c’est le même canal officiel que Microsoft utilise pour envoyer des codes d’authentification à deux facteurs (2FA) et des notifications importantes sur la sécurité des comptes.
Si vous doutez d’un tel email et recherchez l’adresse sur Google, les résultats confirmeront sa légitimité. C’est là que réside le piège. Même lorsque les emails contiennent des fautes d’orthographe, un design désordonné ou des appels confus comme « confirmez le code d’accès à vos messages personnels », le fait qu’ils proviennent d’une source officielle augmente considérablement la probabilité que quelqu’un se fasse avoir.
Impact sur les grandes entreprises et méthodes de contournement
La société a confirmé qu’elle enquête sur le cas, mais il manque encore une explication officielle sur la manière dont cela se produit. Microsoft n’est pas la seule victime – des attaques similaires utilisant des adresses légitimes ont également touché d’autres grandes plateformes, y compris la société financière Betterment et le registrar de domaines Namecheap.
Habituellement, les attaques de phishing reposent sur ce qu’on appelle le spoofing – l’imitation d’adresses email pour qu’elles ressemblent aux originales. Dans ce cas, cependant, les pare-feu et filtres anti-spam sont impuissants. Comme l’email provient d’une adresse réellement approuvée par le système, il passe toutes les vérifications et arrive directement dans la boîte de réception de l’utilisateur.
Comment reconnaître un faux email malgré une adresse authentique
L’objectif des hackers est clair : vous inciter à cliquer sur un lien, prétendument pour protéger votre compte contre une « activité inhabituelle ». Dès que vous le faites, vous transmettez soit votre mot de passe via une fausse page de connexion, soit installez un logiciel malveillant sur votre appareil.
- Passez en revue les liens sans cliquer : maintenez le curseur sur le lien (ou appuyez longuement sur un téléphone) pour voir l’URL réelle. Si vous voyez des liens raccourcis (comme bit.ly) ou des adresses longues et chaotiques, c’est un signal d’arnaque.
- Analysez le contenu : les grandes entreprises ont un style de communication strict. Une mauvaise traduction, des erreurs grammaticales, l’absence de logo officiel ou un ton trop urgent sont des indicateurs forts de phishing.
- N’entrez vos informations QUE SI : si l’email prétend qu’il y a un problème avec votre compte, n’utilisez pas les liens. Ouvrez votre navigateur et connectez-vous manuellement au site officiel pour vérifier votre compte.
