Une nouvelle vague d’arnaques montre que même les repères de sécurité les plus basiques peuvent devenir trompeurs. Cette fois, les escrocs ne se contentent pas d’imiter une entreprise connue, ils s’appuient sur une véritable adresse e-mail Microsoft pour donner à leur fraude une apparence parfaitement légitime.
Les escrocs détournent Microsoft pour voler vos données
Habituellement, pour repérer un message frauduleux, on conseille de vérifier l’expéditeur. Les adresses douteuses ou mal orthographiées trahissent souvent la supercherie. Mais dans cette campagne, plusieurs victimes ont reçu un courriel provenant de no-reply-powerbi@microsoft.com, une adresse authentique liée à Power BI, l’outil professionnel d’analyse de données de Microsoft. À première vue, tout semble officiel.
Comment reconnaître un e-mail Microsoft piégé ?
Le message affirme que plusieurs centaines d’euros ont été débités du compte bancaire du destinataire à la suite d’une transaction prétendument liée à son compte. Pris de panique, l’utilisateur est invité à appeler un numéro de téléphone pour “résoudre le problème” avec un soi-disant support Microsoft. Il n’y a aucun lien de phishing dans l’e-mail, ce qui rend l’arnaque encore plus difficile à détecter avec les méthodes habituelles.
Une fois l’appel lancé, le faux conseiller guide la victime vers l’installation d’une application sur son smartphone. C’est à ce moment que l’escroquerie bascule vers une prise de contrôle. L’application sert en réalité à espionner l’appareil ou à voler des données sensibles, comme des identifiants, des informations bancaires ou des codes de sécurité.
Les cybercriminels exploitent ici une faiblesse dans le fonctionnement de Power BI. La plateforme permet l’envoi d’e-mails en masse depuis une adresse officielle Microsoft, tout en laissant une certaine liberté sur le contenu du message. Les fraudeurs détournent donc cet outil pour diffuser leurs messages piégés, profitant de la crédibilité du domaine microsoft.com pour rassurer leurs cibles.
Cette technique est particulièrement dangereuse, car elle contourne les réflexes de méfiance habituels. Beaucoup d’utilisateurs pensent qu’un message provenant d’une adresse officielle est forcément sûr, ce qui n’est malheureusement plus toujours vrai.
La règle d’or reste la même
Aucune entreprise sérieuse ne vous demandera d’installer une application à la hâte ou de communiquer des informations sensibles par téléphone après un simple e-mail d’alerte. En cas de doute, il vaut mieux contacter directement le service client via le site officiel de l’entreprise, plutôt que d’utiliser les coordonnées fournies dans le message reçu.
