Barracuda signale de nouvelles campagnes de phishing qui exploitent Microsoft OAuth et les applications Google pour contourner les contrôles de sécurité.
Les chercheurs en sécurité de Barracuda ont cartographié une série d’attaques de phishing exploitant Microsoft OAuth. Cette technologie permet aux utilisateurs de se connecter à des applications comme Microsoft 365 sans partager leur mot de passe. Les criminels exploitent cette couche d’accès pour voler des jetons OAuth, imiter des utilisateurs ou accéder à des données sensibles avec de fausses applications.
lire aussi
Barracuda dévoile de nouvelles techniques pour dissimuler les liens de phishing dans les e-mails
Les utilisateurs sont d’abord redirigés vers de fausses pages de connexion. Une fois qu’ils accordent l’autorisation à une application malveillante, un attaquant obtient l’accès à leurs e-mails, fichiers, calendriers ou discussions Teams. Dans certains cas, même l’authentification multifacteur est contournée via un lien OAuth personnalisé. Cela permet d’accéder à une session connectée sans interaction supplémentaire.
Les attaquants enregistrent leurs propres applications au sein d’un tenant Entra ID, les déguisent en applications légitimes et demandent immédiatement des autorisations étendues. Une fois qu’un utilisateur donne son consentement, aucun mot de passe n’est plus nécessaire. Les attaques sont automatisées, ciblées et difficiles à détecter.
Google comme tremplin légitime
Outre les attaques OAuth, les chercheurs observent également une exploitation croissante des plateformes sans serveur et des outils de productivité. Le code est directement exécuté sur une URL accessible au public, sans configuration complexe. Les e-mails renvoient vers de fausses pages web, prétendument où les utilisateurs sont invités à conserver leur mot de passe.
Des services comme Google Translate et Google Meet sont également exploités. En encodant les URL comme sous-domaines de ‘translate.goog’, les attaquants parviennent à tromper les utilisateurs. Via Google Meet, des invitations de spam sont massivement envoyées avec de fausses offres, où la victime est incitée à prendre contact via WhatsApp.
lire aussi
L’ère des attaques d’hameçonnage pitoyables est révolue
Barracuda recommande aux organisations de limiter les demandes OAuth aux liens de redirection de confiance, d’éviter les autorisations étendues, de faire expirer rapidement les jetons et d’enregistrer activement les applications suspectes. Sensibiliser les utilisateurs aux risques des implémentations OAuth est tout aussi essentiel.
L’émergence de kits de phishing automatisés et l’exploitation de services cloud légitimes montrent à quel point les attaques de phishing sont devenues flexibles et adaptables. Les organisations doivent continuer à adapter leurs stratégies de sécurité pour pouvoir repousser ces attaques de plus en plus sophistiquées, conclut Barracuda.