Le portail d’administration Microsoft 365 est utilisé à mauvais escient pour envoyer des e-mails de sextorsion, ce qui donne l’impression que les messages sont dignes de confiance et contourne les plateformes de sécurité de messagerie.
Les e-mails de sextorsion sont des escroqueries prétendant que votre ordinateur ou appareil mobile a été piraté pour voler des images ou des vidéos de vous en train d’accomplir des actes sexuels. Les escrocs vous demandent ensuite un paiement de 500 à 5 000 dollars pour les empêcher de partager les photos compromettantes avec votre famille et vos amis.
Même si on pourrait penser que personne ne pourrait tomber dans le piège de ces escroqueries, elles étaient très rentables lorsqu’elles sont apparues pour la première fois en 2018, générant plus de 50 000 $ par semaine. À ce jour, BleepingComputer continue de recevoir des messages des personnes concernées après les avoir reçus.
Depuis lors, les escrocs ont créé de nombreuses variantes d’escroqueries par courrier électronique, y compris celles qui prétendent avoir surpris votre conjoint en train de tricher ou incluent des photos de votre maison pour vous effrayer et vous inciter à payer l’extorsionniste en Bitcoin.
Cependant, les plateformes de sécurité de messagerie sont devenues efficaces pour détecter ces e-mails frauduleux et les mettent généralement en quarantaine dans le dossier spam.
Abuser du portail d’administration Microsoft 365 à des fins d’escroquerie
Au cours de la semaine dernière, les gens sur LinkedIn, Xet le Forum Réponses Microsoft ont déclaré avoir reçu des e-mails de sextorsion via le Microsoft Message Center, permettant aux escroqueries de contourner les filtres anti-spam et d’atterrir dans la boîte de réception.
« J’ai reçu hier un e-mail d’escroquerie par extorsion. Ces éléments finissent généralement dans les courriers indésirables/spam, mais celui-ci a dépassé les filtres car il a été envoyé par le Centre de messages Microsoft 365.
« Des idées sur la façon dont ils auraient réussi à faire ça ? », a demandé le professionnel de la cybersécurité Edwin Kwan.
Les e-mails de sextorsion provenaient de « o365mc@microsoft.com », ce qui peut ressembler à une adresse de phishing mais qui est en réalité Adresse e-mail légitime de Microsoft utilisé pour envoyer des messages et des notifications à partir du centre de messages Microsoft 365.
Pour ceux qui ne connaissent pas le portail d’administration Microsoft 365, il comprend une section appelée « Centre de messages », qui contient les communications de Microsoft sur les avis de service, les nouvelles fonctionnalités et les modifications à venir.
Lors de la consultation d’un avis, un lien « Partager » vous permet de partager l’avis avec d’autres personnes, comme indiqué ci-dessous.
Cliquer sur le bouton Partager ouvre une boîte de dialogue vous demandant de saisir jusqu’à deux adresses e-mail auxquelles l’avis doit être envoyé, qu’elles soient externes ou internes à votre organisation.
Cet écran comprend également un « Message personnel » facultatif, qui sera ajouté à l’avis envoyé par courrier électronique.
Les auteurs de la menace abusent de la fonctionnalité de message personnel en l’utilisant pour envoyer un message de sextorsion. Cependant, ce champ de message personnel est limité à seulement 1 000 caractères, tout élément supplémentaire étant tronqué par l’interface utilisateur.
Comme le message d’extorsion envoyé par les escrocs dépasse largement les 1 000 caractères, je me demande comment ils contournent cette restriction.
La réponse est simple. Ils ouvrent simplement les outils de développement du navigateur et modifient le champ de longueur maximale du
Ce changement leur permet désormais de saisir l’intégralité du message de sextorsion dans le champ « Message personnel » sans qu’il soit tronqué.
Comme Microsoft n’effectue pas de vérifications côté serveur pour la longueur des caractères, l’intégralité du message d’extorsion est désormais envoyée avec l’avis.
Les fraudeurs utilisent probablement un processus automatisé pour soumettre ces demandes de « Partage », ce qui rend l’envoi encore plus facile sans vérification côté serveur de la longueur du message personnel.
BleepingComputer a contacté Microsoft au sujet de ces escroqueries et on lui a dit qu’ils enquêtaient sur l’activité malveillante.
« Merci d’avoir porté cela à notre attention. Nous prenons la sécurité et la confidentialité très au sérieux », a déclaré Microsoft à BleepingComputer.
« Nous enquêtons sur ces rapports et prendrons des mesures pour contribuer à la protection de nos clients. »
Pour le moment, Microsoft n’a pas ajouté de contrôles côté serveur pour empêcher les messages de plus de 1 000 caractères, ont montré les tests de BleepingComputer.
Bien que cette technique ait permis aux courriels de sextorsion de contourner les filtres de messagerie, toute personne qui les reçoit doit comprendre qu’il ne s’agit que d’arnaques et les supprimer.
Heureusement, les escroqueries par sextorsion sont devenues si abondantes au cours des six dernières années que la plupart des gens se rendent compte qu’il s’agit d’escroqueries et suppriment ce type d’e-mails.
Cependant, pour ceux qui ne sont pas familiers, ces courriels peuvent être pénibles et effrayants.
Par conséquent, il est important de souligner que ces e-mails sont des escroqueries, qu’ils ne disent pas la vérité et que vous ne devez visiter aucun lien contenu dans ces e-mails ni envoyer d’argent aux adresses de crypto-monnaie répertoriées.
