Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Proofpoint identifie un nouveau genre d’attaque de « phishing industriel »

mars 2013 par Proofpoint

A l’occasion de la conférence RSA de San Francisco, Proofpoint Inc., annonce les résultats d’une vaste étude qui a permis d’identifier un nouveau genre d’attaque de phishing à grande échelle, dite « de masse », sophistiquée et efficace. Les attaques de masse ou « Longlining », ainsi nommées en référence à la pratique de pêche industrielle qui déploie des lignes de pêche de plusieurs kilomètres de long avec des milliers d’hameçons individuels, associent les tactiques de harponnage à la personnalisation de masse. Grâce à ces techniques, les fraudeurs sont désormais capables de déployer rapidement des milliers de messages uniques contenant un logiciel malveillant. Ceux-ci sont en grande partie indétectables par les systèmes de sécurité traditionnels basés sur la signature et la réputation. Pire encore, malgré leur envergure, ces attaques de phishing de masse personnalisées ont réussi à tromper plus de 10 % des destinataires en les incitant à cliquer sur du contenu malveillant capable de prendre le contrôle total de leurs ordinateurs et de compromettre les réseaux d’entreprise. Proofpoint a pu suivre et anéantir ces attaques visant les entreprises, à l’aide de la solution Proofpoint Targeted Attack Protection, la toute nouvelle solution de protection des Big Data destinée au secteur professionnel.

Le phishing rencontre la personnalisation de masse

Contrairement aux attaques traditionnelles par phishing de masse, les « hameçons » (courriers électroniques) utilisés dans les attaques sont très variables, ce qui les rend en grande partie indétectables pour les passerelles de sécurité traditionnelles basées sur la signature et la réputation. Les messages sont dotés d’une adresse IP d’origine, d’un objet et d’un contenu différents. Le contenu du message comprend également de nombreuses mutations de l’adresse URL destinataire, qui redirige en général vers un site ayant bonne réputation mais ayant été compromis avant l’attaque. Les destinations Web compromises sont chargées d’un logiciel malveillant masqué avant, durant ou parfois, après l’attaque.

L’utilisation couplée du Cloud Computing et de l’automatisation des processus permettant d’élargir les moyens de réception permet aux fraudeurs d’associer les techniques furtives et les charges malveillantes du harponnage avec succès. Ceci signifie qu’ils peuvent, à moindre coût, envoyer 10 000 ou même 100 000 messages individuels de type harponnage, tous capables de contourner la sécurité traditionnelle. La possibilité pour les fraudeurs d’envoyer en quelques heures seulement des milliers de hameçons par courrier électronique, sous forme d’URL frauduleuse améliore très largement leurs chances de succès et leur capacité à exploiter les défaillances « zero-day » avant que les services IT d’une entreprise n’aient le temps de protéger les systèmes vulnérables.

« Avec la technique du « longlining », les cyber-criminels associent la discrétion et l’efficacité du harponnage à la vitesse et la portée des attaques de virus et de phishing traditionnelles, » déclare David Knight, Vice-Président Exécutif de la gestion des produits pour Proofpoint. « Les techniques et les systèmes de sécurité existants ne peuvent pas gérer cette association de vitesse et de sophistication. Les grandes entreprises sont donc de plus en plus vulnérables à un vaste ensemble d’activités criminelles et à la perte de données. »

Attaques types

Dans le cadre de cette nouvelle étude menée sur une durée de six mois, impliquant plus d’un milliard de courriers électroniques, Proofpoint a observé, documenté et contré des douzaines d’attaques de masse dans le monde. A titre d’exemple, le 3 octobre 2012, Proofpoint a remarqué une attaque basée en Russie comptant 135 000 courriers électroniques envoyés à plus de 80 entreprises en l’espace de trois heures. Pour éviter toute détection, le fraudeur a utilisé environ 28 000 adresses IP différentes comme agents d’envoi, 35 000 alias d’expéditeurs différents et plus de vingt sites Web légitimes compromis pour héberger des téléchargements « drive-by » d’un logiciel malveillant « zero-day ». En raison des agents, alias d’expéditeur, URL et texte différents, aucune organisation ciblée n’a reçu plus de trois courriers électroniques avec les mêmes caractéristiques. Dans l’ensemble, cette attaque a représenté moins de 0,06 % du flux de courrier des entreprises ciblées (par rapport aux 19 % pour le spam et aux 11 % pour les courriers électroniques infectés d’un virus). L’alliance de la personnalisation de masse avec un volume proportionnellement faible a rendu cette attaque de masse invisible pour les logiciels anti-spam traditionnels, permettant dès lors un accès à grande échelle aux réseaux de l’entreprise.

Des attaques similaires ont été signalées lors du quatrième trimestre 2012 et au début de l’année 2013. Dans un autre exemple d’attaque, environ 28 800 messages ont été envoyés par plusieurs vagues d’une durée d’une heure chacune à plus de 200 entreprises. La campagne regroupait 813 URL compromises uniques envoyées depuis 2 181 adresses IP d’expédition différentes. Là encore, aucune entreprise n’a reçu plus de trois messages avec un contenu identique.

Efficacité alarmante

Malgré leur portée relativement étendue, les attaques de masse étaient d’une efficacité alarmante.

· 10 % des courriers électroniques reçus qui contenaient des URL malveillantes intégrées ayant échappé à la détection du périmètre ont fait l’objet d’un clic par les employés destinataires.

· Toutes les attaques de masse utilisaient des « téléchargements drive-by » installés sur des sites Web compromis. Ces attaques utilisent la vulnérabilité du navigateur, des formats PDF et Java pour installer des « rootkits » invisibles, sans autre action requise de la part de l’utilisateur que de cliquer sur l’URL envoyée pour consulter le site Web infecté.

· Environ un clic sur cinq (19 %) sur les URL frauduleuses intégrées dans un courrier électronique a eu lieu « hors réseau » alors que les employés accédaient à leur courrier électronique depuis leur domicile ou en mobilité et donc en dehors du périmètre de protection de l’entreprise.




Voir les articles précédents

    

Voir les articles suivants