Nous avons également constaté qu’un nombre étonnamment élevé d’attaques émanent de grands fournisseurs de cloud légitimes. Nous supposons que cela est dû au fait que les attaquants sont capables de compromettre des serveurs et/ou des comptes de messagerie légitimes hébergés par ces fournisseurs.

Examinons de plus près l’impact de la géographie et de l’infrastructure réseau sur les attaques de phishing et les solutions disponibles pour les détecter, les bloquer et s’en remettre.

Pleins feux sur une menace

Caractéristiques de géolocalisation et de réseau des attaques de phishing. Dans les attaques de phishing, les attaquants utilisent des tactiques d’ingénierie sociale pour inciter les victimes à fournir des informations personnelles telles que des noms d’utilisateur, des mots de passe, des numéros de carte de crédit ou des informations bancaires. La détection de cet hameçonnage se concentre en grande partie sur le contenu des e-mails de phishing et le comportement des attaquants. Toutefois, les attaques de phishing devenant de plus en plus complexes, ceux qui tentent de s’en défendre doivent utiliser des méthodes de plus en plus sophistiquées.

Notre équipe de chercheurs a examiné les caractéristiques des e-mails de phishing au niveau du réseau, car les fonctionnalités à ce niveau sont plus persistantes et plus difficiles à manipuler pour les attaquants. Nous avons extrait les adresses IP des champs "received" des en-têtes des e-mails, car ces champs enregistrent des informations sur les serveurs empruntés lors du transit. L’étude de ces données a permis de mieux comprendre le parcours d’un e-mail de phishing entre son expéditeur et ses destinataires.

Détails

Notre analyse a permis de dégager trois constats.
1. Les e-mails de phishing ont le plus souvent des itinéraires qui traversent plusieurs pays.
Plus de 80 % des e-mails bénins sont acheminés via deux pays au maximum, contre à peine plus de 60 % des e-mails de phishing. Ainsi, une fonctionnalité efficace pour un système de détection du phishing pourrait être d’examiner le nombre de pays distincts par lesquels un e-mail passe.

2. Les pays où la probabilité de phishing est la plus élevée sont situés dans certaines parties de l’Europe de l’Est, de l’Amérique centrale, du Moyen-Orient et de l’Afrique.
Nous avons déterminé la probabilité de phishing des pays en identifiant le pays de l’expéditeur grâce aux données de géolocalisation et en calculant la probabilité de phishing pour chaque pays selon la formule suivante :

Certains pays qui ont un volume élevé de phishing en origine ont une probabilité extrêmement faible de phishing. Par exemple, 129 369 e-mails de phishing dans le jeu de données ont été envoyés depuis les États-Unis, mais ce pays a une probabilité de phishing de seulement 0,02 %. En général, la majorité des pays avaient une probabilité de phishing de 10 % ou moins.

Les expéditeurs produisant un volume plus élevé d’e-mails de phishing (plus de 1 000 e-mails dans le jeu de données) avec une probabilité plus élevée de phishing proviennent des pays ou territoires suivants (par ordre décroissant) :
• Lituanie
• Lettonie
• Serbie
• Ukraine
• Russie
• Bahamas
• Porto Rico
• Colombie
• Iran
• Palestine
• Kazakhstan

S’il n’est pas raisonnable de bloquer l’intégralité du trafic du courrier électronique provenant des pays ayant une forte probabilité de phishing, il peut être judicieux de marquer les e-mails qui en émanent en vue d’une analyse plus approfondie.

3. Un grand nombre des réseaux utilisés par les attaquants pour envoyer leurs attaques sont étonnamment de grands fournisseurs de cloud légitimes.

Il est surprenant de constater que les réseaux présentant le nombre le plus élevé d’attaques de phishing appartiennent à de grands fournisseurs de cloud computing. Cela s’explique dans la mesure où ils présentent également le volume total d’e-mails envoyés le plus élevé. Pour ces réseaux, la probabilité qu’un e-mail soit de l’hameçonnage est très faible (voir la figure 3). Il est probable que la plupart des attaques provenant de ces réseaux émanent de comptes de messagerie ou de serveurs compromis, dont les attaquants ont pu obtenir les informations d’identification.

Classement du volume d’e-mails de phishing Propriétaire du réseau Probabilité d’un e-mail de phishing
1 Amazon 0,000224
2 Microsoft 0,000429
3 Amazon 0,000124
4 Twitter 0,00212

Classement des quatre premiers réseaux en volume d’envoi : informations sur le propriétaire, classification et probabilité qu’un e-mail provenant du réseau soit un e-mail de phishing.

Nous avons également constaté que certains des attaquants ayant le plus fort volume de phishing (par réseau) et présentant également une forte probabilité de phishing proviennent aussi de réseaux appartenant à des prestataires de services de cloud computing (Rackspace, Salesforce). Ces réseaux ont un trafic total d’emails nettement inférieur aux deux premiers réseaux, mais envoient néanmoins une quantité significative d’emails de phishing. Par conséquent, ils ont une probabilité beaucoup plus élevée qu’un e-mail en provenant soit malveillant (voir la figure 4).

Classement du volume d’e-mails de phishing Propriétaire du réseau Probabilité d’un e-mail de phishing
9 LayerHost 0,277
13 UnrealServers 0,334
17 REG.RU 0,836
18 Cherry Servers 0,760
20 Rackspace 0,328

Exemples de réseaux présentant un volume élevé d’e-mails de phishing et une probabilité élevée de phishing : informations sur le propriétaire, classification et probabilité qu’un e-mail provenant du réseau soit un e-mail de phishing.

Protection contre les attaques de phishing

Recherchez des solutions qui s’appuient sur l’intelligence artificielle.
Les cybercriminels adaptent leurs tactiques pour contourner les passerelles de messagerie et les filtres anti-spam. Il est donc essentiel d’avoir une solution qui détecte et protège contre les attaques par spear phishing, notamment l’usurpation de marque, les attaques BEC et le piratage de compte e-mail. Déployez une solution qui ne repose pas uniquement sur la recherche de liens ou de pièces jointes malveillants. Une solution qui utilise l’apprentissage automatique pour analyser les schémas de communication normaux au sein de votre entreprise permet de détecter les anomalies susceptibles d’indiquer une attaque.

Mettez en place une protection contre l’usurpation de comptes.
Ne pensez pas qu’aux e-mails externes. Certaines des attaques par spear phishing les plus dévastatrices et les plus abouties proviennent de comptes internes compromis. Empêchez les attaquants d’utiliser votre entreprise comme camp de base pour lancer des campagnes de spear phishing. Déployez une technologie qui utilise l’intelligence artificielle pour reconnaître quand des comptes ont été compromis et qui y remédie en temps réel en alertant les utilisateurs et en supprimant les messages malveillants envoyés à partir des comptes compromis.

Améliorez la sensibilisation à la sécurité par la formation.

Tenez vos utilisateurs informés des dernières attaques et tactiques de spear phishing. Dispensez une formation à jour de sensibilisation des utilisateurs et assurez-vous que vos collaborateurs savent reconnaître les attaques et les signaler immédiatement au département informatique. Utilisez la simulation du phishing pour le courrier électronique, la messagerie vocale et les SMS afin de former les utilisateurs à identifier les cyberattaques, tester l’efficacité de votre formation et évaluer les utilisateurs les plus vulnérables.