Des escrocs utilisent Microsoft 365 Direct Send pour falsifier des e-mails ciblant des entreprises américaines.

Les escrocs exploitent Microsoft 365 Direct Send pour usurper des e-mails internes ciblant des entreprises américaines en contournant les filtres de sécurité avec des attaques de phishing utilisant de faux messages vocaux et des codes QR.

Les chercheurs en cybersécurité de Varonis Threat Labs ont révélé une nouvelle campagne de phishing sophistiquée qui exploite une fonctionnalité peu connue de Microsoft 365 pour diffuser des e-mails malveillants.

Cette attaque, qui a débuté en mai 2025 et qui est restée active de manière constante, a déjà ciblé plus de 70 organisations, dont une majorité significative, 95 %, sont des organisations basées aux États-Unis.

L'aspect unique de cette campagne est sa capacité à « usurper l'identité des utilisateurs internes sans jamais avoir besoin de compromettre un compte », ce qui la rend particulièrement difficile à détecter pour les systèmes de sécurité de messagerie traditionnels, ont noté les chercheurs dans le billet de blog partagé avec Hackread.com.

La campagne exploite la fonctionnalité d'envoi direct de Microsoft 365, conçue pour les appareils internes comme les imprimantes, afin d'envoyer des e-mails sans nécessiter d'authentification de l'utilisateur. Selon Varonis, les attaquants exploitent cette fonctionnalité de manière abusive.

Tom Barnea, de Varonis Threat Labs, souligne dans le rapport que cette méthode fonctionne car « aucune connexion ni identifiant n'est requis ». Les acteurs malveillants ont simplement besoin de quelques informations publiques, comme le domaine de l'entreprise et les formats d'adresse e-mail interne, souvent faciles à deviner.

Grâce à l'envoi direct, les criminels peuvent créer des e-mails semblant provenir de l'intérieur d'une organisation, même s'ils proviennent d'une source externe. Cela permet aux messages malveillants de contourner les contrôles de sécurité habituels, car ils sont souvent traités par les filtres de Microsoft et les solutions tierces comme des communications internes légitimes.

De plus, Varonis a observé que ces e-mails falsifiés imitent souvent des notifications de messagerie vocale, contenant une pièce jointe PDF avec un code QR. La lecture de ce code QR redirige les victimes vers une fausse page de connexion Microsoft 365 conçue pour voler leurs identifiants.

Les organisations doivent être vigilantes pour détecter cette nouvelle forme d'attaque. Varonis recommande de vérifier les en-têtes des e-mails afin de détecter des signes tels que des adresses IP externes envoyées à un « hôte intelligent » Microsoft 365 (par exemple, tenantname.mail.protection.outlook.com), ou des échecs dans les contrôles d'authentification comme SPF, DKIM ou DMARC pour les domaines internes. Les indices comportementaux, tels que les e-mails envoyés par un utilisateur à lui-même ou les messages provenant de lieux géographiques inhabituels sans activité de connexion correspondante, sont également des indicateurs forts.

Pour éviter d'être victime, Varonis recommande d'activer le paramètre « Rejeter l'envoi direct » dans le Centre d'administration Exchange et de mettre en œuvre une politique DMARC stricte. La formation des utilisateurs est essentielle, notamment en les alertant sur les dangers des pièces jointes contenant des codes QR dans les attaques de phishing ( QR Phishing ).

Enfin, l’application de l’authentification multifacteur (MFA) pour tous les utilisateurs et la mise en place de politiques d’accès conditionnel peuvent protéger les comptes même si les informations d’identification sont volées via ces tentatives de phishing sophistiquées.