Check Point dévoile une campagne massive de phishing usurpant Microsoft SharePoint et DocuSign. Plus de 40 000 e-mails frauduleux à thématiques financières ont visé 6 100 entreprises en deux semaines, parvenant même à tromper les utilisateurs les plus aguerris.
Le scénario en devient presque banal. Un e-mail arrive dans votre boîte professionnelle, vous demandant de consulter un document urgent via SharePoint ou de signer électroniquement un contrat sur DocuSign. Sauf que le piège est plus sophistiqué que d'habitude. Check Point Research vient de dévoiler une campagne d'hameçonnage d'ampleur mondiale qui exploite depuis plusieurs semaines des messages à thématiques financières (contrats, factures, documents transactionnels), en imitant à la perfection les services de partage et de signature que vous utilisez au quotidien.
Les pirates usurpent Microsoft SharePoint avec une précision terrifiante
La technique utilisée par les pirates est ingénieuse. Ils ont réussi à détourner Mimecast Protect, un système de sécurité censé justement protéger les e-mails, pour transformer leurs liens malveillants en URL d'apparence totalement sûre. Concrètement, ils utilisent la fonctionnalité de réécriture sécurisée des liens de Mimecast comme un bouclier. Puisqu'il s'agit d'un domaine de confiance, les filtres automatiques laissent passer et les utilisateurs cliquent sans sourciller.
Le diable se niche dans les détails, et ces cybercriminels le savent. Chaque e-mail frauduleux reprend scrupuleusement l'identité visuelle de SharePoint, eSignDoc ou DocuSign. Les logos Microsoft sont authentiques, les en-têtes et pieds de page impeccables, les boutons « Consulter le document » identiques à ceux que vous voyez habituellement. Même les noms d'expéditeur sonnent juste, avec des formulations comme « X via SharePoint (Online) » ou « eSignDoc via Y » qui imitent parfaitement les notifications légitimes. Un niveau de mimétisme qui piège même les plus prudents.
Tous les liens transitent par l'adresse url.za.m.mimecastprotect[.]com, ce qui renforce l'illusion de sécurité. C'est là toute la perversité de l'attaque, car dans la campagne principale, l'URL finale reste visible dans la chaîne de requête, mais encapsulée dans des services réputés. Une « redirection ouverte » qui donne un faux sentiment de confiance tout en menant droit vers des pages de phishing. En deux semaines seulement, cette stratégie a permis de frapper des milliers d'entreprises à travers le monde.
La variante DocuSign masque complètement sa destination malveillante
Comme si cela ne suffisait pas, les chercheurs ont découvert une seconde opération, plus modeste en volume, mais techniquement supérieure. Cette variante cible spécifiquement DocuSign en utilisant une méthode de redirection radicalement différente. Au lieu de laisser l'URL finale partiellement visible, elle fait d'abord transiter le lien par Bitdefender GravityZone, puis par le système de suivi des clics d'Intercom, en masquant complètement la destination derrière une redirection « tokenisée ».
La différence est cruciale pour comprendre l'évolution de la menace. Avec cette approche, impossible pour l'utilisateur de vérifier où il va réellement atterrir, même en survolant le lien avec sa souris. L'URL finale est entièrement dissimulée, ce qui rend cette variante DocuSign beaucoup plus furtive et difficile à détecter, y compris pour les équipes de sécurité expérimentées qui savent habituellement déceler les signes d'une arnaque.
Tout cela révèle une chose : les cybercriminels ne mettent plus tous leurs œufs dans le même panier. Ils testent, adaptent, multiplient les approches pour toucher un maximum de victimes. Un jour c'est SharePoint, le lendemain DocuSign, avec des techniques qui évoluent au gré des défenses mises en place. Une vraie agilité tactique qui complique sérieusement la tâche des responsables sécurité, qui doivent anticiper non pas une, mais plusieurs méthodes d'attaque simultanées.
Voici comment détecter et bloquer ces e-mails frauduleux avant qu'il soit trop tard
Sur les 40 000 e-mails malveillants interceptés par Check Point, plus de 34 000 visaient des entreprises américaines. L'Europe arrive loin derrière avec 4 525 tentatives, suivie du Canada (767), de l'Asie-Pacifique (346), de l'Australie (267) et du Moyen-Orient (256). La concentration géographique n'a évidemment rien d'un hasard, puisque ces régions abritent les plus grands centres financiers de la planète.
Côté secteurs, notons que le conseil, l'immobilier et la tech rassemblent l'essentiel des attaques, mais personne n'est vraiment épargné. Énergie, santé, industrie, finance, médias, logistique, éducation, commerce, tourisme, secteur public… Tous figurent sur la liste des cibles. La raison ? Ces industries manipulent chaque jour des contrats, des factures, des documents transactionnels critiques. Autant de flux où l'usurpation d'un service de signature électronique semble parfaitement naturelle et passe sous le radar de la méfiance.
Pour se protéger, Check Point nous rappelle quelques. Soyez systématiquement prudent avec les liens dans les e-mails, surtout s'ils semblent inattendus ou urgents. Examinez les détails, par exemple un nom d'expéditeur qui ne correspond pas à l'adresse mail, une mise en page approximative, ou des logos de mauvaise qualité, qui sont autant de signaux d'alerte.
Avant de cliquer, survolez le lien pour vérifier sa destination réelle. Mieux encore : ouvrez votre navigateur et accédez directement au service concerné plutôt que de passer par l'e-mail. Enfin, sensibilisez régulièrement vos équipes aux nouvelles techniques de phishing et équipez-vous de solutions spécialisées, comme une détection des menaces par messagerie, desmoteurs anti-phishing, un filtrage des URL et des outils de signalement pour vos utilisateurs. Des défenses indispensables face à ces attaques toujours plus élaborées.
