Barracuda, partenaire de confiance et fournisseur leader de solutions de sécurité dans le cloud, décrypte la façon dont les cybercriminels lancent des attaques avec ces comptes, ainsi que des solutions pour protéger votre entreprise en détectant, bloquant et palliant les menaces qui ne cessent d’évoluer.

Pleins feux sur une menace

Les cybercriminels enregistrent des comptes e-mail auprès de services légitimes pour les utiliser dans des attaques de compromission des adresses électroniques d’entreprise et d’usurpation d’identité. Ils élaborent ces messages avec soin et, dans la plupart des cas, n’utilisent ces comptes e-mail que quelques fois pour éviter d’être détectés ou bloqués par les prestataires de services de messagerie électronique. Chacune de ces adresses e-mail utilisées dans les attaques de compromission des adresses électroniques d’entreprise est définie comme un compte malveillant. Elles donnent un aperçu de la façon dont les cybercriminels utilisent les comptes e-mail dans leurs attaques.

Les comptes malveillants sont responsables de 45 % des attaques par compromission des adresses électroniques d’entreprise détectées depuis le 1er avril 2020. Ces récidivistes ont créé des attaques multiples, ciblant plusieurs entreprises à partir des mêmes comptes de messagerie.

Le service e-mail préféré des cybercriminels pour les comptes malveillants est Gmail. Ce dernier est accessible, gratuit, facile à enregistrer et dispose d’une réputation suffisamment élevée pour passer à travers les filtres de sécurité du courrier électronique.

Même s’ils utilisent la même adresse électronique plusieurs fois, les attaquants changent de nom d’affichage pour leurs tentatives d’usurpation d’identité.

Les cybercriminels n’utilisent pas leurs comptes malveillants pendant une longue période : 29 % des comptes malveillants ne sont utilisés que sur une période de 24 heures. Plusieurs raisons expliquent la courte durée de vie de ces comptes :
• les comptes malveillants peuvent être signalés et suspendus par les fournisseurs de messagerie électronique ;
• il est facile pour les cybercriminels d’enregistrer de nouveaux comptes ;
• les cybercriminels peuvent abandonner temporairement un compte après les attaques initiales, puis y revenir longtemps après.

Alors que la plupart des comptes malveillants sont utilisés par les attaquants pendant une courte période, certains cybercriminels ont utilisé ces comptes pour lancer des attaques pendant plus d’un an. Il n’est pas rare que des cybercriminels reprennent et réutilisent une adresse électronique lors d’attaques après une longue pause.

Par nature, la compromission des adresses électroniques d’entreprise est une attaque très ciblée. Après une période initiale de recherche, les cybercriminels se font passer pour un employé ou un partenaire de confiance lors d’une attaque par courrier électronique. Généralement, un e-mail est d’abord utilisé pour établir un contact et instaurer la confiance. Les attaquants s’attendent à obtenir une réponse à leurs attaques par compromission des adresses électroniques d’entreprise. En conséquence, ces attaques sont généralement de très faible volume et très personnalisées pour assurer une meilleure chance de réponse. Le nombre d’attaques par messagerie électronique envoyées par un compte malveillant varie d’un à plus de 600 e-mails, la moyenne n’étant que de 19.

Après avoir analysé les attaques sur plus de 6 600 entreprises, les chercheurs de Barracuda ont constaté que, dans de nombreux cas, les cybercriminels utilisent les mêmes adresses électroniques pour attaquer différentes entreprises. Le nombre d’entreprises attaquées par chaque compte malveillant varie entre une et 256, ces dernières ayant été ciblées par une seule attaque de masse et représentant 4 % des entreprises incluses dans cette recherche.

Comment protéger votre entreprise des comptes malveillants

Investir dans la protection contre la compromission des adresses électroniques d’entreprise :
Les cybercriminels conçoivent des attaques par compromission des adresses électroniques d’entreprise de sorte qu’elles contournent les passerelles de messagerie électronique. C’est pourquoi ils n’utilisent chaque compte malveillant que dans un petit nombre d’attaques pour éviter d’être détectés. L’utilisation de l’intelligence artificielle pour identifier des expéditeurs inhabituels ou des demandes et d’autres communications atypiques aidera à détecter les attaques par compromission des adresses électroniques d’entreprise et d’autres fraudes.

Bloquer les messages provenant de comptes malveillants :
Il n’est pas toujours facile d’identifier les comptes utilisés par les attaquants. Les cybercriminels utilisent des techniques comme l’usurpation d’identité qui peuvent compliquer l’identification du compte réellement utilisé dans une attaque. Étant donné le faible volume d’attaques provenant d’un compte malveillant, il est peu probable que la même entreprise soit ciblée par deux attaques par compromission des adresses électroniques provenant du même compte e-mail. La collaboration avec un éditeur capable de partager ce type de connaissances sur les menaces entre différentes entreprises en temps réel permettra d’obtenir un niveau de protection plus élevé.

Former vos utilisateurs à reconnaître les attaques de phishing ciblées :
La formation des utilisateurs doit toujours faire partie de votre arsenal de sécurité. Assurez-vous que vos employés savent comment reconnaître les messages provenant de l’extérieur de votre entreprise et connaissent les dernières tactiques utilisées par les cybercriminels.