Un Phishing-as-a-Service vise les connexions Microsoft 365
![Image Panorama de l’[innovation cyber 2024]](https://incyber.org//wp-content/uploads/2024/05/fic-eu-24-innovation-9-885x690.jpg)
Baptisé « Greatness », ce service cybercriminel propose un outil de piratage « clé-en-main » contre des comptes professionnels
Cisco Talos a publié, le 10 mai 2023, une alerte sur « Greatness », une plateforme cybercriminelle permettant de créer des campagnes de phishing, imitant des connexions Microsoft 365. Ce Phishing-as-a-Service (PaaS) propose à ses clients cybercriminels de générer pour eux un mail frauduleux et une fausse page de connexion.
« Greatness intègre des fonctionnalités observées dans certaines des offres PaaS les plus avancées, comme le contournement de l’authentification multifactorielle, le filtrage IP et l’intégration de bots Telegram », précise Cisco Talos.
Le mode opératoire du PaaS est simple. Le client soumet à Greatness le nom d’une entreprise dont il veut pirater les comptes, accompagné d’’une liste d’adresses mails cibles. Le PaaS génère alors une série de mails frauduleux prétendument envoyés par l’entreprise cible, contenant un lien vers une page de connexion.
En cliquant sur le lien, la victime accède à un faux panneau de connexion Microsoft 365, avec le logo de l’entreprise concernée. L’adresse e-mail de la victime est pré-remplie, pour l’encourager à rentrer son mot de passe sans crainte. Dans le même temps, le PaaS remplit la page de connexion légitime de l’entreprise visée avec les informations tapées par la victime.
Si la connexion impose une double authentification, Greatness envoie une demande depuis le site légitime. La victime reçoit alors un code d’authentification : en le renseignant dans le faux panneau de connexion, elle permet à Greatness de mettre la main dessus. Une fois connecté au compte de la victime, le PaaS envoie le token de session à son client cybercriminel, le plus souvent via un bot Telegram.
Le service est pour l’heure limité aux connexions via Microsoft 365, et vise donc plutôt des cibles professionnelles. Sa simplicité d’utilisation le rend exploitable même par des cybercriminels peu qualifiés.
Cisco Talos a repéré pour la première fois « Greatness » en novembre 2022. La société de cybersécurité a ensuite identifié deux pics d’activité, en décembre 2022 et mars 2023. « Les victimes étaient presque exclusivement des entreprises des États-Unis, du Royaume-Uni, d’Australie, d’Afrique du Sud et du Canada », précise Cisco Talos. Le PaaS cible tout particulièrement l’industrie manufacturière, la santé et les hautes technologies.