Notification de document EFile

 

 

 

Une notification de document EFile…

 

Hier soir, je me suis rendu à Copenhague pour prendre la parole à la conférence européenne SharePoint. Alors que j’étais dans le métro moderne (sans conducteur) pour me rendre au Bella Center, j’ai reçu un étrange courriel m’indiquant que j’avais reçu une  » notification de fichier électronique  » de quelqu’un que je ne connaissais pas. Apparemment (et de manière très excitante), un document OneDrive crypté attendait mon attention, si seulement j’ouvrais la pièce jointe en HTML.

 

Problèmes avec le message

 

Tout utilisateur expérimenté d’Office 365 reconnaîtra quelques problèmes avec ce message.

 

Une pièce jointe en HTML provenant de quelqu’un que vous ne connaissez pas est toujours suspecte. Office 365 et Outlook.com prennent tous deux en charge l’option Chiffrer uniquement (et Office 365 dispose désormais de labels de sensibilité) pour protéger les e-mails et les pièces jointes. Il n’est jamais nécessaire d’ouvrir une pièce jointe HTML (et d’être infecté) pour obtenir des instructions. Le partage OneDrive ne fonctionne pas sur la base de l’envoi d’instructions HTML. Tout message comportant une faute de grammaire ou d’orthographe (comme  » vous serez invité à « ) prétendant provenir d’une entreprise est également suspect.

 

Dans tous les cas, pour confirmer mes soupçons, j’ai recherché le domaine dont le message était censé provenir et j’ai découvert que keller-services.com est une entreprise de chauffage au Texas. Leur site web n’utilise pas HTTPS, ce qui pourrait expliquer pourquoi il a été détourné. Quoi qu’il en soit, je n’ai pas besoin de services de chauffage et je ne suis pas au Texas, il n’y a donc aucune raison d’accepter des courriels de ce domaine.

 

En-têtes de message

 

L’utile module complémentaire Message Header Analyzer (MHA) pour Outlook peut confirmer les problèmes des messages. Lorsque j’ai examiné les en-têtes, j’ai constaté que le véritable expéditeur du message était un locataire d’Office 365 appelé netorg533059.onmicrosoft.com (MXLookup indique que l’enregistrement MX de la messagerie de keller-services.com est géré par ProofPoint). Une non-concordance entre le domaine d’envoi présumé et le domaine réel généralement mauvais. L’adresse IP signalée dans l’en-tête est hors ligne ou inaccessible aussi.

 

L’AMH révèle les secrets du message

Je pourrais continuer, mais j’ai décidé de simplement signaler le message à Microsoft comme une possible ( !!!) tentative d’hameçonnage et de laisser leur équipe de protection en ligne d’Exchange déterminer pourquoi le message a traversé la panoplie de contrôles anti-malware utilisés pour nettoyer le flux entrant vers Office 365.

Mais soyons clairs. Bien que les contrôles anti-malware d’Office 365 soient très bons, la compétition entre les pirates et les défenseurs est en cours et se poursuivra – et certains e-mails suspects passeront toujours. La sensibilisation des utilisateurs par l’éducation aux signes indiquant qu’un message n’est peut-être pas aussi beau qu’il semble l’être est le filet de sécurité de l’anti-malware.

L’éventail de contrôles et d’outils anti-malware disponibles dans Exchange Online Protection et Advanced Threat Protection for Office 365 est décrit au chapitre 17 du livre électronique Office 365 for IT Pros. Parce que j’ai lu le chapitre 17, je savais ce qu’il fallait rechercher dans le mauvais message.