Microsoft met en garde contre l'escroquerie 'Payroll Pirate' visant les employés universitaires
Microsoft a alerté les organisations sur une campagne de phishing baptisée 'Payroll Pirate' qui compromet les comptes Workday pour détourner les fiches de paie des employés. L'escroquerie, active depuis mars 2025, a affecté des comptes dans plusieurs universités. Les attaquants utilisent des tactiques sophistiquées pour contourner l'authentification multifacteur et masquer leurs modifications.
La campagne 'Payroll Pirate' implique des e-mails de phishing qui trompent les employés universitaires pour qu'ils saisissent leurs identifiants sur de fausses pages de connexion imitant leurs portails RH, tels que Workday. Les escrocs utilisent des tactiques d'adversaire dans le milieu pour intercepter les codes d'authentification multifacteur, leur permettant d'accéder à de vrais comptes malgré les mesures de sécurité.
Une fois à l'intérieur, les attaquants modifient les paramètres de paie pour rediriger les virements directs vers des comptes qu'ils contrôlent. Pour éviter la détection, ils créent des règles e-mail qui bloquent les notifications automatiques de Workday concernant ces changements. Dans certains cas, ils ajoutent un numéro de téléphone qu'ils contrôlent comme option de récupération de secours pour un accès persistant.
Microsoft a rapporté que depuis mars 2025, des acteurs de menaces ont compromis 11 comptes dans trois universités. Ces comptes ont été utilisés pour envoyer des e-mails de phishing à près de 6 000 comptes dans 25 universités. Les appâts varient : un thème prétend une exposition à une maladie contagieuse sur le campus, avec un lien pour vérifier le statut ; un autre mentionne des changements récents dans les avantages des employés, menant à une page de connexion déguisée.
« L'acteur de menace a utilisé des e-mails de phishing réalistes, ciblant des comptes dans plusieurs universités, pour récolter des identifiants », a déclaré Microsoft dans son avis.
La campagne met en lumière les vulnérabilités des méthodes d'authentification multifacteur non conformes à FIDO, telles que les codes à usage unique par e-mail ou SMS, qui sont sensibles à l'interception. Microsoft recommande d'adopter des options conformes à FIDO comme les passkeys ou les clés de sécurité physiques, notant qu'aucune violation connue n'a eu lieu via ces méthodes. Les utilisateurs doivent également examiner périodiquement les règles de filtrage e-mail pour détecter des blocages non autorisés des alertes de sécurité.
Cette escroquerie souligne la nécessité d'une authentification robuste dans les systèmes RH cloud, particulièrement alors que le phishing évolue pour cibler les institutions éducatives.