Un kit de phishing vendu clés en main reproduit une fausse fenêtre de connexion Microsoft 365 quasi-indétectable et permet de pirater les comptes malgré l’authentification à deux facteurs. Prudence.
Oui, passez plutôt par la passoire SharePoint !
On peut résumer donc toute cette avalanche de techniques de phishing sophistiquées en "ne cliquez pas sur un lien reçu par e-mail. Personnellement moi je serais d’avis de ne pas permettre de suivre les liens d’un e-mail ou message, tout simplement. Cela impacterait peut-être le confort de certaines actions comme « Suivre votre colis » mais pourrait sauver la mise si par exemple en suivant un lien un message apparaît signalant que toute de demande de connexion, d’informations personnelles etc doit faire l’objet de la plus grande prudence.
On devrait même pousser le concept jusqu’à utiliser la signature numérique : la clé publique signe un message et le client e-mail peut vérifier par exemple suivant une base de données connue qu’un message et ses liens sont authentiques, affichant un petit badge par exemple. L’utilisateur verrait ainsi immédiatement si un e-mail est vraiment de Microsoft ou toute autre société ou une tentative de hameçonnage.
Microsoft utilise depuis un bout de temps une clé d’accès biométrique. Fini les 6 caractères par 2FA
J’ai été victime de ce phishing hier. J’ai changé forcé la déconnexion de tous les appareils de mon compte Microsoft, changé mon mdp 2-3 fois, réinitialiser mon ordinateur au cas où… Est-ce que c’est suffisant, qu’est-ce qu’il faut faire une fois qu’il est trop tard, est-ce qu’on sait quelles informations sont ciblées? Merci