Dans diverses attaques de phishing, les cybercriminels ont ciblé des universités américaines pour voler des informations d’identification Office 365 essentielles. Ces attaques d’ingénierie sociale ont été conçues pour imiter la page de connexion de l’université afin de piéger les cibles dans l’arnaque.
Dans cette campagne d’escroquerie, les acteurs de la menace ont utilisé la pandémie de COVID-19 et ses variantes Delta et Omicron ainsi que plusieurs thèmes sur la façon dont les programmes éducatifs ont été touchés par les dernières variantes de virus.
Les cyber-escrocs ont initialement mené l’assaut en octobre 2021, et ils ont également partagé des détails sur les méthodes et les processus qu’ils ont appliqués dans la campagne.
Dans cette campagne de phishing, les escrocs ont d’abord envoyé un e-mail à l’utilisateur cible déguisé en informations relatives aux résultats du test COVID-19, à la nouvelle variante Omicron, aux tests d’exigences supplémentaires ou aux changements de classe.
Les destinataires sont encouragés à cliquer sur la pièce jointe (fichier HTML). S’ils le font, ils sont redirigés vers un site de connexion identique à la page officielle de leur université.
La page de connexion frauduleuse semble très alléchante, et même l’URL utilisée qui contient le .edu, un domaine de premier niveau.
Proofpoint a partagé certaines des universités ciblées dans ces agressions, notamment la West Virginia University, l’Université du Wisconsin-Oshkosh, l’Université du Central Missouri, l’Arkansas State University, Purdue, Auburn et Vanderbilt.
Les escrocs ont également conçu des portails de destination qui falsifient une page DUO MFA, qui est utilisée pour voler les codes d’accès à usage unique envoyés aux étudiants et aux professeurs. Ceci est fait pour éviter la protection MFA (authentification multifacteur) sur les pages de connexion universitaires ciblées.
Dès que les utilisateurs ciblés saisissent leurs identifiants sur le site de phishing, la page leur demande alors de saisir le code qu’ils ont obtenu par SMS sur leur téléphone. Une fois le code saisi, les criminels peuvent l’utiliser directement pour prendre le contrôle du compte.
Les fraudeurs peuvent accéder aux données sensibles stockées dans les dossiers OneDrive et SharePoint du compte et les exfiltrer. Ces attaques de phishing pourraient potentiellement entraîner des incidents BEC dommageables et des infections de ransomware très dangereuses pour les universités.