Plusieurs employés de la société Microsoft ont reçu des e-mails provenant de comptes légitimes qui ont été compromis afin de voler leurs informations d’identification O365. En effet, les chercheurs mettent en garde contre une attaque de phishing coordonnée ayant visé plusieurs autres sociétés. Les pirates derrière cette attaque ont exploité plusieurs centaines de comptes de messagerie légitimes compromis dans le but de cibler les organisations via des e-mails, qui prétendaient être des notifications de livraison de documents. En réalité, l’attaque de phishing a volé les données d’identification Office 365 des victimes.

Cette attaque commence par un appât faisant croire aux destinataires des e-mails qu’ils ont reçu un document, et cet e-mail se fait passer pour des sociétés connues comme eFax. Dans cet e-mail, les destinataires sont aussi appelés à cliquer sur la pièce jointe afin de l’afficher – un lien est contenu dans un bouton indiquant « Afficher les documents ».

Les chercheurs ont donc fait la déclaration suivante : «La raison pour laquelle le contournement fonctionne est que les adresses e-mail compromises sont connues et approuvées par l'organisation sur la base de communications antérieures et légitimes.». Les chercheurs ont aussi ajouté que les URL intégrées redirigent vers de fausses pages de phishing Microsoft Office 365 inédites. Plusieurs centaines de pages de destination de phishing ont été trouvés et sont hébergés sur des sites de publication numérique comme Joom, Weebly et Quip. Quand l’employé clique sur le bouton « Afficher les documents », il sera dirigé vers la campagne finale d’hameçonnage des données d’identification.