Le portail d’administration Microsoft 365 est utilisé de manière abusive pour envoyer des e-mails de sextorsion, ce qui donne l’impression que les messages sont dignes de confiance et contourne les plates-formes de sécurité des e-mails.
Les courriels de sextorsion sont des escroqueries prétendant que votre ordinateur ou votre appareil mobile a été piraté pour voler des images ou des vidéos de vous en train d’accomplir des actes sexuels. Les escrocs vous demandent alors un paiement de 500 to à 5 000 $pour les empêcher de partager les photos compromettantes avec votre famille et vos amis.
Alors que vous penseriez que personne ne pourrait tomber dans le piège de ces escroqueries, elles étaient très rentables lorsqu’elles sont apparues pour la première fois en 2018, générant plus de 50 000 a par semaine. À ce jour, Breachtrace continue de recevoir des messages de personnes concernées après les avoir reçus.
Depuis lors, les escrocs ont créé de nombreuses variantes d’escroqueries par courrier électronique d’extorsion, y compris celles qui prétendent avoir surpris votre conjoint en train de tricher ou incluent des photos de votre maison pour vous faire peur de payer l’extorqueur en Bitcoin.
Cependant, les plates-formes de sécurité des e-mails sont devenues efficaces pour détecter ces e-mails frauduleux et les mettent généralement en quarantaine dans le dossier spam.
Abus du portail d’administration Microsoft 365 pour les escroqueries
Au cours de la semaine dernière, des personnes sur LinkedIn, X et le forum Microsoft Answers ont signalé avoir reçu des courriels de sextorsion via le Centre de messagerie Microsoft, permettant aux escroqueries de contourner les filtres anti-spam et d’atterrir dans la boîte de réception.
« J’ai reçu un courriel frauduleux d’extorsion hier. Ces choses finissent généralement dans le courrier indésirable/spam, mais celui-ci a dépassé les filtres car il a été envoyé par le centre de messagerie Microsoft 365.
« Des idées sur la façon dont ils auraient réussi à faire cela? »a demandé le professionnel de la cybersécurité Edwin Kwan.
Les courriels de sextorsion provenaient de « [email protected], » qui peut ressembler à une adresse de phishing, mais qui est en fait l’adresse e-mail légitime de Microsoft utilisée pour envoyer des messages et des notifications à partir du Centre de messagerie Microsoft 365.
Pour ceux qui ne connaissent pas le portail d’administration Microsoft 365, il comprend une section appelée « Centre de messages », qui contient des communications de Microsoft sur les avis de service, les nouvelles fonctionnalités et les modifications à venir.
Lorsque vous consultez un avis, un lien « Partager » vous permet de partager l’avis avec d’autres personnes, comme illustré ci-dessous.
En cliquant sur le bouton Partager, une boîte de dialogue s’ouvre vous demandant de saisir jusqu’à deux adresses e-mail auxquelles l’avis doit être envoyé, qu’elles soient externes ou internes à votre organisation.
Cet écran comprend également un « Message personnel » facultatif, qui sera ajouté à l’avis envoyé par courrier électronique.
Les acteurs de la menace abusent de la fonction de message personnel en l’utilisant pour envoyer le message de sextorsion. Cependant, ce champ de message personnel est limité à seulement 1 000 caractères, tout élément supplémentaire étant tronqué par l’interface utilisateur.
Comme le message d’extorsion envoyé par les escrocs dépasse largement les caractères 1,000, je me suis demandé comment ils contournaient cette restriction.
La réponse est simple. Ils ouvrent simplement les outils de développement du navigateur et modifient le champ de longueur maximale de la balise < textarea> en un nombre arbitraire de leur choix.
Ce changement leur permet désormais de saisir l’intégralité du message de sextorsion dans le champ « Message personnel » sans qu’il soit tronqué.
Comme Microsoft n’effectue pas de vérifications côté serveur pour la longueur des caractères, l’intégralité du message d’extorsion est désormais envoyée avec l’avis.
Les escrocs utilisent probablement un processus automatisé pour soumettre ces demandes de « partage », ce qui facilite encore l’envoi sans vérification côté serveur de la longueur du message personnel.
Breachtrace a contacté Microsoft à propos de ces escroqueries et on lui a dit qu’ils enquêtaient sur l’activité malveillante.
« Merci d’avoir porté cela à notre attention. Nous prenons la sécurité et la confidentialité très au sérieux », a déclaré Microsoft à Breachtrace.
« Nous enquêtons sur ces rapports et prendrons des mesures pour aider à protéger nos clients. »
À l’heure actuelle, Microsoft n’a pas ajouté de vérifications côté serveur pour empêcher les messages de plus de 1 000 caractères, ont montré les tests de Breachtrace.
Bien que cette technique ait permis aux courriels de sextorsion de contourner les filtres de messagerie, quiconque les reçoit doit comprendre qu’il ne s’agit que d’escroqueries et les supprimer.
Heureusement, les escroqueries par sextorsion sont devenues si abondantes au cours des six dernières années que la plupart des gens se rendent compte qu’il s’agit d’escroqueries et suppriment ces types d’e-mails.
Cependant, pour ceux qui ne sont pas familiers, ces courriels peuvent être pénibles et effrayants.
Par conséquent, il est important de souligner que ces courriels sont des escroqueries, qu’ils ne disent pas la vérité et que vous ne devez visiter aucun lien dans ces courriels ni envoyer d’argent aux adresses de crypto-monnaie répertoriées.