Les escrocs abusent des services de Microsoft et de Google pour des attaques de phishing
Dans le but de tromper le plus de gens possible, les escrocs veulent toujours que leurs faux e-mails ressemblent à la vraie affaire. En tant que tel, Microsoft et Google voient une vague de cybercriminels utiliser leurs plates-formes pour lancer des attaques contre le grand public.
Pourquoi les escrocs utilisent les services Microsoft et Google
Proofpoint a sonné l'alarme sur des agents malveillants qui abusent de services légitimes pour mener des attaques de phishing. L'organisation affirme que les escrocs utilisent «le stockage Office 365, Azure, OneDrive, SharePoint, G-Suite et Firebase» comme principales plates-formes d'exploitation.
Les chiffres sur lesquels Proofpoint rapporte sont stupéfiants:
L'année dernière, 59 809 708 messages malveillants de Microsoft Office 365 ont ciblé des milliers de nos clients. Et plus de 90 millions de messages malveillants ont été envoyés ou hébergés par Google, dont 27% ont été envoyés via Gmail, la plate-forme de messagerie la plus populaire au monde.
Au premier trimestre 2021, nous avons observé sept millions de messages malveillants de Microsoft Office 365 et 45 millions de messages malveillants de l'infrastructure de Google, qui dépassent de loin par trimestre les attaques basées sur Google en 2020.
Proofpoint affirme que ces campagnes de phishing ont surpassé tous les botnets en 2020, ce qui montre à quel point le phishing est en cours.
Alors, pourquoi les escrocs utilisent-ils les services Microsoft et Google? La réponse consiste à rendre l'e-mail de phishing aussi convaincant que possible.
Les fournisseurs de messagerie modernes ont mis en place un filtre anti-spam automatique, et tout courrier suspect est emporté dans le dossier spam dès son arrivée. Même s'il parvient dans la boîte de réception, il doit convaincre la victime de cliquer sur des liens ou des pièces jointes malveillantes.
C'est pourquoi les escrocs se tournent vers les services officiels. Avec une adresse e-mail d'apparence correcte, ils ont de bien meilleures chances de surmonter à la fois le bloqueur de spam et la méfiance de l'utilisateur.
En tant que tel, vous ne devez jamais faire confiance à un e-mail basé uniquement sur l'adresse. Ce n'est pas parce qu'il provient de «onmicrosoft.com» ou «gmail.com» qu'il s'agit en fait de Microsoft, de Google ou d'une organisation légitime qui utilise l'un ou l'autre de ces services.
Gardez toujours un œil sur les petits détails et vérifiez tout pour vous assurer que l'expéditeur est légitime. Les attaques de phishing sont devenues assez avancées ces dernières années, il est donc essentiel de garder l'esprit sur vous et de les attraper avant qu'elles ne vous attrapent.
Les escrocs répandent le net pour les attaques de phishing
À mesure que le monde s'oriente de plus en plus vers l'utilisation de services basés sur le cloud, les escrocs aussi. Les cybercriminels utilisent des domaines légitimes pour lancer leurs vastes campagnes de phishing, alors assurez-vous de donner à chaque e-mail une seule fois avant de cliquer sur les liens et les pièces jointes.
Même si vous tombez dans une attaque de phishing, ce n'est pas la fin du monde. Tant que vous agissez rapidement et que vous changez vos mots de passe avant que les pirates n'entrent, vous pouvez vous protéger même après être tombé dans un piège.
Crédit d'image: MicroOne / Shutterstock.com