Produits et services Central

Usurpation d'e-mails : les nouveaux modes opératoires

L'utilisation des applications de messagerie mobile et des réseaux sociaux a littéralement explosé au cours de la dernière décennie, remodelant complètement nos modes de communication dans notre vie personnelle. Mais malgré ce raz-de-marée, au bureau, l'e-mail demeure la méthode de communication privilégiée. Ses modes d'utilisation évoluent, et continueront d'évoluer, pour refléter les mutations dans les comportements de ses utilisateurs1 : de la réinitialisation de mots de passe au suivi de livraison de colis, l'e-mail multiplie ainsi les points de contacts avec les marques et services avec lesquels nous transactons. Mais du côté des cybercriminels, on s'adapte aussi.

Des attaques de ransomware aux arnaques au président, en passant par les compromission de messagerie professionnelle (BEC, Business Email Compromise) et différentes méthodes d'usurpation et de spear-phishing, il ne se passe pas une minute sans que de nouvelles méthodes d'attaque voient le jour.

Jamais à court d'idées, les cybercriminels redoublent d'inventivité pour inciter les destinataires à cliquer, les entraînant ainsi dans une spirale susceptible de causer des fuites de données et/ou des pertes financières importantes.

Selon notre récent rapport sur les menaces par e-mail, les attaques par usurpation, les arnaques au président et autres BEC ont enregistré une augmentation constante au premier trimestre 2019, augmentation qui devrait se confirmer au deuxième trimestre. Le procédé est simple : les escrocs se font passer pour des dirigeants, supérieurs hiérarchiques ou fournisseurs pour piéger les salariés et les inciter à effectuer des virements bancaires ou à fournir des renseignements confidentiels. Pour les victimes, ces impostures peuvent entraîner des pertes se chiffrant en milliards de dollars, sans parler de l'atteinte à leur réputation.

Figure 1 : Hausse des tentatives d'usurpation d'identité en T1 2019.

Figure 1 : Hausse des tentatives d'usurpation d'identité en T1 2019.

Le rapport indique qu'en parallèle à la hausse des attaques par usurpation, le phishing a également progressé de 17 % en T1 2019 par rapport à T4 2018.

Figure 2 : Marques2 les plus usurpées dans les attaques de phishing, Q1 2019

Figure 2 : Marques2 les plus usurpées dans les attaques de phishing, Q1 2019

Sur le cloud, la prédominance de Microsoft Office 365 fait d'Office 365 et de OneDrive des cibles privilégiées. Souvent, l'intention est de récolter les identifiants d'utilisateurs professionnels pour compromettre leur compte.

Une fois maître du compte, le hacker l'utilisera à des fins malveillantes  sans éveiller le moindre soupçon puisqu'agissant depuis une adresse e-mail légitime et jugée fiable. Il pourra alors :

  • Distribuer du malware en interne
  • Cibler des comptes à forts privilèges (spear-phishing)
  • Compromettre les comptes e-mails de dirigeants
  • Cibler des clients et partenaires
  • Effectuer des reconnaissances de l'environnement
  • Accéder aux VPN ou à d'autres services cloud pour s'infiltrer plus en profondeur dans l'entreprise

Pour l'utilisateur peu méfiant, un e-mail de phishing peut prendre l’apparence d'un simple message provenant d'une équipe d’assistance l’incitant à confirmer les identifiants de son compte. De l’adresse de l'expéditeur à l'identité visuelle de la marque, tout est fait pour rendre l'email plus vrai que nature. Office 365, Dropbox, Slack et d'autres services SaaS très répandus sont les cibles privilégiées des attaquants. Une fois l'accès obtenu, ils ont tout loisir de s'implanter sur le réseau pour étendre leur emprise sur l'environnement infiltré.

Exemples d'attaques de phishing courantes :

Figure 3 : Exemple d'attaque par e-mail usurpant l'identité de la marque Microsoft Office 365.

Figure 3 : Exemple d'attaque par e-mail usurpant l'identité de la marque Microsoft Office 365.

Figure 4 : Capture d'écran d'une imitation de la page de connexion de Microsoft Office 365, prise par FireEye Email Security.

Figure 4 : Capture d'écran d'une imitation de la page de connexion de Microsoft Office 365, prise par FireEye Email Security.

Les tactiques utilisées et l'importance de la visibilité

Les professionnels de l'informatique ne sont que trop conscients de l'importance d'une messagerie bien sécurisée, sachant que le phishing est l’arme la plus dévastatrice que les attaquants aient dans leur arsenal. Les URL malveillantes camouflées dans du texte sont difficilement détectables par la plupart des solutions de sécurité, notamment celles dont la nocivité ne se révèle qu'après avoir passé les systèmes de détection. Par exemple, une URL intégrée dans un e-mail peut rediriger vers une page de phishing aux heures de bureau, mais vers une page HTML vierge en dehors des heures de travail.

Grâce à ses divers plug-ins de signature, d'analytique et de machine learning, FireEye Email Security - Server Edition offre aux administrateurs IT la possibilité d'inspecter visuellement les pages Internet vers lesquelles les URL de ces e-mails renvoient. Ils peuvent ainsi déterminer immédiatement le caractère malveillant d'un e-mail de phishing.

FireEye PhishVision se base sur le deep learning et compare les captures d'écran de marques couramment imitées pour détecter les pages de connexion frauduleuses accessibles à partir des e-mails suspects. Outre son efficacité dans la neutralisation des attaques de phishing, cette méthodologie a également une excellente valeur pédagogique.

Figure 5 : URL de connexion à Office.

Figure 5 : URL de connexion à Office.

Figure 6 : Exemple d'URL de phishing sur OneDrive.

Figure 6 : Exemple d'URL de phishing sur OneDrive.

La fonction de capture d'écran permet en effet de voir à quoi ressemble la page de phishing vers laquelle l'URL renvoie. Cette prévisualisation aide à juger du caractère authentique de la page frauduleuse, ce qui s'avère très utile à des fins de reporting et de sensibilisation des utilisateurs.

La capacité à analyser les tentatives de collecte d'identifiants permet non seulement de réduire le risque, mais également d'établir des corrélations avec d'autres technologies internes pour vérifier tout impact et prendre les mesures appropriées. De même, cette capacité de détection et de réponse précoces permet d'atténuer l'éventuel préjudice et, in fine, à bloquer toute tentative de récidive.

Figure 7 : Vue d'ensemble d'alertes groupées permettant une analyse rapide.

Figure 7 : Vue d'ensemble d'alertes groupées permettant une analyse rapide.

En un coup d'œil, on peut identifier les alertes prioritaires, telles que les détections rétroactives, ou trier par type de menace. Par exemple, les analystes veulent généralement traiter prioritairement les détections rétroactives ou les menaces encore inconnues, comme illustré sur la Figure 7.

FireEye classe les alertes par ordre de priorité pour aider les administrateurs IT à en comprendre la gravité, tout en les informant sur les modes opératoires et leur livrant des analyses forensiques approfondies (comportements des terminaux et du réseau, déroulement de l'attaque, etc.).

Grâce à ces informations, FireEye peut automatiser ses réponses et automatiquement mettre en quarantaine les e-mails identifiés rétroactivement, notamment ceux contenant des URL de spear-phishing activées après réception de l'e-mail. Avec FireEye, le temps moyen écoulé entre la détection et la résolution est d'environ 4 minutes, là où d'autres solutions prennent plus de 2 heures3. Cette extrême réactivité permet non seulement d'accroître l'efficacité des opérations de sécurité, mais aussi de réduire l'impact des incidents de sécurité sur l'entreprise.

RECOMMANDATION

Les schémas d'utilisation de l'e-mail changent. Mais comme toujours, les cybercriminels s'adaptent. Pour les responsables informatiques, l'enjeu est de sécuriser au maximum leur système de messagerie pour réduire le risque de compromission. Les différents leviers d'action :

  • Mettez en place une authentification multifacteur pour établir un contrôle d'accès supplémentaire. Vous bloquerez ainsi les tentatives d'accès au moyen d'identifiants volés.
  • Organisez des actions de formation et de sensibilisation de vos utilisateurs, en vous appuyant sur des exemples de menaces réelles que vous avez bloquées
  • Déployez des technologies avancées de sécurisation des passerelles de messagerie telles que FireEye Email Security Cloud ou Server Edition — Suivez notre visite guidée de Secure Email Gateway
  • Améliorez la visibilité sur vos référentiels d'identifiants sur site (Active Directory, Office 365, etc.) pour détecter les activités non autorisées. Découvrez FireEye Helix, notre plateforme cloud de sécurité opérationnelle.

[1] Why Email Remains The Top Enterprise Collaboration Tool, par David Roe — CMS Wire.

[2] Le phishing générique et les spams ne contiennent aucun élément de marque.

[3] Livre blanc FireEye – L'équilibre difficile de la cybersécurité : gestion des risques vs. traitement d'une avalanche d'alertes : comparaison des coûts