Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les tentatives de phishing ne sont pas près de s’arrêter...

février 2020 par Check Point Software Technologies Ltd.

Levez le doigt si vous avez déjà reçu l’un de ces messages :

« Messieurs,

Une personne portant le même nom de famille que vous est décédée la semaine dernière au fin fond du Pérou. Vous êtes le seul parent que nous avons pu trouver et nous aimerions donc connaître votre date de naissance, vos coordonnées bancaires, le nom de jeune fille de votre mère, votre numéro de CNI et votre code PIN, afin de pouvoir vous envoyer les 20 000 000 € dont vous avez hérité.
Merci beaucoup »

Il y a quelques années de cela, j’ai échangé quelques emails avec un pirate peu sophistiqué qui a tenté d’obtenir certaines de mes coordonnées bancaires, alors que j’étais en train de m’ennuyer chez moi pendant mon congé maternité. Au bout d’un long échange d’emails inspirés des Timewaster Letters, qui s’est terminé par l’envoi d’une photo de mon empreinte digitale (il m’avait demandé mon numéro de carte d’identité), il m’a laissée tomber et est sans doute passé à une autre cible sans méfiance.

Cette aventure m’a fait réfléchir à la raison pour laquelle quelqu’un passerait du temps à mener manuellement une campagne de phishing qui a probablement un taux de conversion de 0 %.

Peut-être en fait regardons-nous ces campagnes sous le mauvais angle. En nous berçant d’un faux sentiment de sécurité selon lequel les systèmes de phishing seront toujours grossiers et manifestes, nous risquerons davantage de commettre des erreurs lorsque nous seront confrontés à des tentatives sophistiquées qui auront plus de chances de nous duper plus facilement.

En fait, le phishing n’est qu’une des dimensions de l’art extrêmement dangereux du détournement de messagerie professionnelle (BEC, Business Email Compromise). Ces détournements coûtent à l’économie mondiale plus de 26 milliards de dollars selon le FBI. Grâce à une combinaison de tentatives de phishing, de logiciels malveillants sophistiqués et d’usurpation de domaines, des criminels peuvent facilement soutirer d’énormes sommes d’argent aux entreprises, en restant invisibles jusqu’à ce qu’il soit trop tard.

Les méthodes d’ingénierie sociale sont de plus en plus efficaces, et les criminels déguisés sont de plus en plus audacieux dans leurs tentatives de voler l’argent des entreprises. La sécurité intégrée à la messagerie est inutile lorsque les criminels sont suffisamment sophistiqués pour contourner les méthodes d’apprentissage machine.

Un client avisé de Check Point, que nous appellerons Acme Logistics, réalise un chiffre d’affaires de plusieurs dizaines de millions de dollars par an et utilise à la fois la sécurité intégrée d’Office 365 et un prestataire de services de sécurité pour la messagerie dans le Cloud.

Acme Logistics entretient une relation de longue date avec le fournisseur « Acme Vehicles », et doit lui verser un paiement de 700 000 dollars pour l’achat de nouveaux équipements. Le directeur financier d’Acme Logistics a reçu un email quelques jours avant le paiement, de la part d’un responsable de compte d’Acme Vehicles, citant le numéro de commande et de facture en question, demandant que les fonds soient versés sur un nouveau compte bancaire. Cet email a contourné la sécurité dans le Cloud (ce qui, soit dit en passant, rend inutile la couche de sécurité de Microsoft de mettre sur liste blanche les adresses email jugées sûres).

Pendant ce temps, le responsable informatique d’Acme Logistics a, par chance, décidé d’évaluer la solution CloudGuard SaaS. L’un des moteurs de prévention des menaces a signalé cette menace d’apparence inoffensive comme étant une attaque de type « zero day ». Une inspection plus approfondie a révélé qu’au lieu de correspondre avec un gestionnaire de compte d’acmevehicles.com, le directeur financier correspondait avec un individu fictif d’acmevehicels.com (notez l’orthographe différente de « vehicles »).

Un membre de la direction, sans méfiance, comptant toutefois sur la sécurité intégrée à sa messagerie, est passé à deux doigts de transférer 700 000 dollars sur le mauvais compte bancaire.

Cet exemple n’est qu’un des nombreux cas de phishing que nos équipes rencontrent régulièrement chez nos clients. Cette attaque a certainement commencé par la prise de contrôle d’un compte, qui a permis aux pirates d’espionner les correspondances avant d’enregistrer le faux domaine et de lancer ensuite l’attaque de phishing. Lorsqu’il est orchestré à cette échelle, avec autant de préméditation et de précision, ce type d’attaque de phishing contre un membre de la direction d’une entreprise s’appelle une attaque de « chasse à la baleine ». En cas de réussite, c’est une prise énorme pour les pirates.

Ces cas particuliers, d’un client qui a déjà mis en place des mesures de sécurité, nous rappelle avec humilité que toutes les tentatives de phishing ne visent pas uniquement les utilisateurs peu avertis. En fait, ces tentatives grossières renforcent les campagnes plus vastes d’ingénierie sociale qui ont pour objectif de nous faire baisser notre garde dans un monde de plus en plus connecté. C’est également un signal fort qui montre comment la prise de contrôle des comptes est un élément clé qui sert aux pirates à déclencher des campagnes efficaces de phishing.

Tandis que nous recherchons les méthodes les plus efficaces pour protéger nos systèmes de messagerie contre les tentatives de phishing et la prise de contrôle de comptes, il est important de garder à l’esprit qu’une approche multicouche pour la sécurité de la messagerie est essentielle. Mais si une des couches rend la couche suivante totalement inefficace... alors il est probablement temps de réviser votre méthodologie et votre architecture de sécurité.

Vous vous demandez pourquoi en 2020 il est encore question de sécurité de la messagerie ? Consultez notre récent article de blog sur la sécurité de la messagerie. Dans un prochain article, nous examinerons les différents types de sécurité disponibles pour la messagerie, et évaluerons les avantages et les inconvénients de chacun.


Voir les articles précédents

    

Voir les articles suivants