C’est une arnaque très sournoise qui frappe les utilisateurs du monde entier depuis plusieurs semaines. Sa particularité, les emails viennent d’une adresse authentique de Microsoft. Pire encore, c’est celle-ci que la firme de Redmond recommande officiellement d’ajouter à sa whitelist.
Une situation qui rend l’arnaque presque indétectable et qui pousse de nombreuses victimes potentielles dans les filets des cybercriminels. L’adresse en question est [email protected]. Il s’agit de l’adresse utilisée par Power BI pour envoyer des notifications aux utilisateurs de cette plateforme d’analyse de données professionnelles.
Une arnaque sournoise qui utilise une vraie adresse mail Microsoft
Dans sa documentation officielle, Microsoft indique explicitement qu’il faut autoriser cette adresse pour éviter que ces communications ne se retrouvent bloquées par l’antispam. Les pirates ont trouvé un moyen d’exploiter cette confiance pour diffuser massivement des emails frauduleux qui passent les contrôles de sécurité sans déclencher la moindre alerte.
Les témoignages se multiplient depuis la moitié du mois de janvier sur les forums d’assistance de Microsoft. Les montants arnaqués sont de plusieurs centaines d’euros pour certains.
Le mécanisme de l’arnaque repose sur une fonctionnalité de Power BI que les escrocs ont détournée. La plateforme permet de créer des tableaux de bord et d’y ajouter n’importe quelle adresse mail externe comme un abonné. Power BI envoie alors automatiquement une notification à ces adresses depuis son adresse officielle Microsoft.
Sauf que voilà, le contenu du message peut être personnalisé par celui qui a créé le tableau de bord. Les cybercriminels n’ont donc besoin que d’adresses mail valides pour envoyer des alertes frauduleuses qui ont l’air de venir directement de Microsoft. Les messages demandent aux victimes d’appeler un numéro qui mène à un piège.
Sarah Sabotka, chercheuse en sécurité chez Proofpoint, qui a découvert cette arnaque, nous précise pourquoi elle est redoutable. L’experte explique qu’il n’y a aucun lien malveillant ou de pièce jointe suspecte. Les filtres anti-spam laissent passer les messages sans même broncher.
Le domaine expéditeur Microsoft.com est considéré comme fiable par tous les systèmes. Chaque message frauduleux contient un numéro de téléphone à contacter en urgence pour annuler une supposée transaction faite à l’insu de la victime. Une pression qui pousse les personnes ciblées à une réaction précipitée sans même réfléchir ou vérifier l’information.
Quiconque compose le numéro se retrouve en ligne avec un faux employé de Microsoft, souvent dans des centres d’appels à l’anglais approximatif. L’interlocuteur demande alors à la victime d’installer un logiciel de maintenance à distance pour soi-disant résoudre le problème.
Une attaque qui prend le contrôle total de votre PC
C’est précisément là que le piège se referme. Quand l’application est installée, l’escroc a un accès complet au PC de la victime. Il peut espionner son activité, dérober ses identifiants de connexion, ses coordonnées bancaires, ses documents personnels et même installer d’autres logiciels malveillants pour garder une totale emprise.
Alors pour éviter de vous faire avoir, vérifiez tout en bas du mail qu’une ligne mentionne explicitement que vous avez été abonné via un tableau de bord Power BI. Une information noyée dans le reste du contenu alarmant qui passe facilement inaperçue pour beaucoup de victimes.
Autre indice : les nombreuses fautes d’orthographe et de grammaire dans certains messages. Des utilisateurs signalent aussi des formulations maladroites qui trahissent la nature frauduleuse de ces messages.
Face à l’ampleur du problème, la fonctionnalité d’abonnement par email de Power BI a été suspendue. Une solution est en cours de développement et la firme de Redmond n’a pas encore communiqué officiellement sur cette mesure. Plusieurs sources indiquent que des restrictions ont été mises en place pour limiter l’exploitation de cette faille.
Source : IPS.Tools
Réagissez à cet article !