Les cybercriminels utilisent les emails d’ingénierie sociale pour parvenir à pénétrer dans les réseaux d’entreprise

Une étude réalisée par FireEye permet d’identifier les mots clés utilisés par les cybercriminels dans leurs faux emails pour infecter les réseaux d’entreprise et voler des données

FireEye®, Inc., leader mondial dans le blocage de cyber-attaques malveillantes, a annoncé aujourd’hui la publication de « Top Words Used in Spear Phishing Attacks to Successfully Compromise Enterprise Networks and Steal Data » (Mots clés utilisés dans les attaques d’harponnage pour compromettre les réseaux d’entreprise et voler des données), un rapport qui identifie les techniques d’ingénierie sociale que les cybercriminels utilisent dans leurs cyber-attaques avancées via email. Selon ce rapport, les mots clés que les cybercriminels utilisent suscitent un sentiment d’urgence afin de piéger les destinataires non-avertis et de les pousser à télécharger des fichiers malveillants. Les mots utilisés dans les attaques via email pour contourner les systèmes de défense informatique traditionnels appartiennent pour la plupart à la catégorie des expéditions express.

Selon des données récentes issues du Rapport sur les menaces avancées de FireEye (« Advanced Threat Report ») pour les six premiers mois de 2012, les attaques via email ont progressé de 56%. Les cyber-attaques avancées perpétrées via email contournent facilement les systèmes de protection traditionnels basés sur les signatures, en poussant les utilisateurs naïfs à installer des fichiers malveillants.

« Les cybercriminels continuent d’évoluer et d’affiner leurs tactiques d’attaque afin de contourner les systèmes de détection et de développer des techniques qui fonctionnent. Les emails utilisant la technique du harponnage sont de plus en plus nombreux parce qu’ils fournissent les résultats escomptés », déclare Ashar Aziz, fondateur et PDG de FireEye. « La détection basée sur les signatures est inefficace contre ces attaques avancées en constante évolution ; les départements informatiques en charge de la sécurité doivent ajouter une couche de protection pour renforcer leurs défenses et contrer les menaces avancées. »

Le rapport « Top Words Used in Spear Phishing Attacks to Successfully Compromise Enterprise Networks and Steal Data » explique que près d’une attaque sur quatre inclut des termes liés à l’expédition express de marchandises, comme « DHL », « UPS », et « livraison ». Des termes d’urgence tels que « notification » et « alerte » sont également présents dans presque 10% des attaques. Une pièce jointe malveillante pourra par exemple être intitulée « UPS-Confirmation-de-Livraison-Alerte_Avril-2012.zip ».

Le rapport indique que les cybercriminels ont également tendance à utiliser des mots relatifs au domaine financier, comme des noms d’institutions financières et d’une transaction apparentée comme « Lloyds TSB – Formulaireinscription.html » ou des termes de taxation, comme « Remboursement_Taxes.zip ». Les termes appartenant aux secteurs des voyages et de la facturation, comme par exemple « American Airlines Ticket » et « facture », sont également populaires parmi les mots clés répertoriés dans les emails d’harponnage.

Les emails d’harponnage sont particulièrement efficaces car les cybercriminels utilisent souvent des informations puisées sur les réseaux sociaux, afin de personnaliser les emails et de les rendre plus qu’authentiques. Lorsque des utilisateurs non-méfiants y répondent, ceux-ci peuvent télécharger par inadvertance des fichiers malveillants ou cliquer sur des liens malveillants repris dans l’email, ce qui permet ainsi aux criminels d’accéder au réseau d’entreprise et d’exfiltrer des propriétés intellectuelles, des informations sur les clients ou d’autres données vitales de l’entreprise.

Le rapport souligne que les cybercriminels utilisent principalement des fichiers ZIP afin de dissimuler un code malveillant, mais aussi d’autres types de fichiers, comme par exemple des PDF et des fichiers exécutables.

Le rapport « Top Words Used in Spear Phishing Attacks to Successfully Compromise Enterprise Networks and Steal Data » se base sur des données issues de la plateforme de protection contre les fichiers malveillants FireEye Malware Protection Cloud™, un service partagé par des milliers d’appliances FireEye dans le monde entier, et sur les renseignements en la matière récoltés par son équipe de recherche. Le rapport fournit un aperçu général des attaques via email parvenant à contourner par routine les solutions de sécurité traditionnelles comme les pare-feux et les pare-feux de nouvelle génération, les protocole de sécurité internet (IPsec), les anti-virus et les passerelles.

Le rapport complet, qui inclut des listes de termes et d’extensions de fichiers utilisés par les cybercriminels dans leurs cyber-attaques avancées via email, est disponible en téléchargement ici.

 

A propos de FireEye, Inc.

 

FireEye est le leader des solutions de protection contre les attaques critiques ciblées perpétrées au moyen de logiciels malveillants, de menaces « zero-day » et de tactiques d’APT. Les solutions de FireEye viennent renforcer les pare-feu, passerelles, systèmes de prévention d’intrusion et antivirus traditionnels et de prochaine génération, incapables de stopper des attaques plus élaborées et laissant des failles de sécurité dans les réseaux. FireEye propose la seule solution du marché qui détecte et bloque des attaques perpétrées via le Web, les emails ou à l’aide de codes malveillants résidents les fichiers en partage. La solution permet de bloquer toutes les étapes du cycle de développement d’une attaque, grâce à un moteur autonome qui analyse le statut des attaques afin de détecter toute menace « zero-day ». Etabli à Milpitas, en Californie, FireEye peut compter sur de grands partenaires financiers tels que Sequoia Capital, Norwest Venture Partners, et Juniper Networks.

Suivez-nous via Twitter et Facebook.