Les acteurs malveillants qui se lancent dans des attaques de phishing exploitent des scénarios de routage malveillants et des protections mal configurés pour usurper l'identité des domaines des organisations et distribuer des e-mails qui semblent avoir été envoyés en interne.
“Les acteurs malveillants ont exploité ce vecteur pour diffuser une grande variété de messages de phishing liés à diverses plates-formes de phishing en tant que service (PhaaS), telles que Tycoon 2FA”, a déclaré l'équipe Microsoft Threat Intelligence dans un rapport publié mardi. “Il s'agit notamment des messages honeypot liés aux messages vocaux, aux documents partagés, aux communications du service des ressources humaines (RH), aux réinitialisations ou expirations de mots de passe, etc., qui conduisent au phishing d'identifiants.”
Bien que le vecteur d'attaque ne soit pas nécessairement nouveau, le géant de la technologie a déclaré avoir constaté une augmentation de l'utilisation de cette tactique depuis mai 2025 dans le cadre de campagnes opportunistes ciblant une grande variété d'organisations dans plusieurs secteurs et secteurs verticaux. Cela inclut une campagne qui a utilisé de faux e-mails pour mener des escroqueries financières contre des organisations.
Une attaque réussie pourrait permettre aux acteurs malveillants de siphonner les identifiants et de les exploiter pour des activités ultérieures, allant du vol de données à la compromission de la messagerie professionnelle (BEC).
Le problème se manifeste principalement dans les scénarios dans lesquels un locataire a configuré un scénario de routage complexe et où les protections contre l’usurpation d’identité ne sont pas strictement appliquées. Un exemple de routage complexe consiste à faire pointer l’enregistrement de l’échangeur de messagerie (enregistrement MX) vers un environnement Exchange sur site ou un service tiers avant d’atteindre Microsoft 365.
Cela crée une faille de sécurité que les attaquants peuvent exploiter pour envoyer des messages de phishing usurpés qui semblent provenir du propre domaine du locataire. Il a été constaté que la grande majorité des campagnes de phishing tirant parti de cette approche utilisent le kit Tycoon 2FA PhaaS. Microsoft a déclaré avoir bloqué plus de 13 millions d'e-mails malveillants liés au kit en octobre 2025.
Les boîtes à outils PhaaS sont des plates-formes plug-and-play qui permettent aux fraudeurs de créer et de gérer facilement des campagnes de phishing, les rendant accessibles même à ceux ayant des compétences techniques limitées. Ils fournissent des fonctionnalités telles que des modèles de phishing personnalisables, une infrastructure et d'autres outils pour faciliter le vol d'informations d'identification et contourner l'authentification multifacteur à l'aide du phishing de type adversaire au milieu (AiTM).
Le fabricant de Windows a déclaré avoir également détecté des e-mails visant à inciter les organisations à payer de fausses factures, ce qui pourrait entraîner des pertes financières. Les messages usurpés usurpent également l'identité de services légitimes comme DocuSign ou prétendent provenir des ressources humaines concernant les changements de salaire ou d'avantages sociaux.
Les e-mails de phishing qui propagent des escroqueries financières ressemblent souvent à une conversation entre le PDG de l'organisation ciblée, une personne demandant un paiement pour des services fournis ou le service comptable de l'entreprise. Ils contiennent également trois pièces jointes pour donner au plan un faux sentiment de confiance :
- Une fausse facture de plusieurs milliers de dollars sera transférée sur un compte bancaire
- Un formulaire IRS W-9 indiquant le nom et le numéro de sécurité sociale de la personne utilisée pour ouvrir le compte bancaire.
- Un employé de la banque en ligne utilisée pour ouvrir le compte frauduleux aurait fourni une fausse lettre bancaire.
“Ils peuvent utiliser des liens cliquables dans le corps de l'e-mail ou des codes QR dans les pièces jointes ou d'autres moyens pour diriger le destinataire vers une page de destination de phishing”, a-t-il ajouté. « L'impression d'avoir été envoyé à partir d'une adresse e-mail interne est la distinction la plus visible pour un utilisateur final, souvent avec la même adresse e-mail utilisée dans les champs « À » et « De ».
Pour contrecarrer ce risque, il est recommandé aux organisations d'établir des politiques strictes de rejet d'authentification, de reporting et de conformité des messages basés sur le domaine (DMARC) et de Sender Policy Framework (SPF) et de configurer correctement les connecteurs tiers, tels que les services de filtrage anti-spam ou les outils d'archivage.
Il convient de noter que les locataires dont les enregistrements MX pointent directement vers Office 365 ne sont pas vulnérables au vecteur d'attaque. De plus, il est recommandé de désactiver l'envoi direct si cela n'est pas nécessaire pour rejeter les e-mails usurpant l'identité des domaines de votre organisation.