Le spear phishing monte en puissance en 2016

Avec un volume plus faible que le phishing, le spear phishing est une des techniques à la mode chez les cybercriminels. Comme le phishing, le spear phishing a pour objectif de dérober des données sensibles (codes d’accès, informations bancaires, etc.), ou de pénétrer le réseau de l’entreprise via une injection de malware pour y mener des attaques d’envergure. A la différence du phishing, l’email de spear phishing n’est envoyé qu’à une seule personne, il est particulièrement bien ciblé grâce à des recherches sur le contexte personnel/professionnel du destinataire et il ne contient que très rarement de pièce jointe ou de lien, le but étant d’établir une relation de confiance. Proposant un contenu pertinent et usurpant généralement l’identité d’une personne connue du destinataire (On appelle fréquemment ce type d’attaque la « fraude au Président » lorsque c’est l’identité du président qui est usurpée) l’email de spear phishing demande au destinataire d’effectuer une action bien précise, comme un virement bancaire sur un compte étranger ou l’envoi rapide en retour d’informations sensibles. Si cette approche fonctionne si bien, c’est que les cybercriminels sont des experts de l’ingénierie sociale. Ils se sont très bien renseignés sur leur cible et leur entreprise, et l’absence de pièce jointe rend la détection encore plus compliquée.

Une solution de lutte anti-spear phishing la plus complète du marché

Face à ce constat, Vade Retro a développé une solution complète basée sur un processus de filtrage en deux étapes : l’analyse du contenu des emails grâce à des algorithmes heuristiques spécialement développés pour cette menace, et la détection de l’usurpation grâce à la nouvelle technologie « Identity Match » basé sur une analyse comportementale, le tout complété par l’éducation des utilisateurs.

Concrètement, chaque email reçu par l’utilisateur de la boîte protégée subit une analyse axée sur plusieurs niveaux de détection (permettant le blocage de l’email) :

Vérification des habitudes de l’utilisateur de la boîte email et du contenu : l’utilisateur a t-il déjà échangé avec cet expéditeur et est-il celui qu’il prétend être ? L’email contient-il une demande de partage de données sensibles (filtre heuristique). Les pièces jointes sont-elles des malwares ? (Le spear phishing permettant de diffuser des malwares en leur donnant une légitimité pour favoriser leur ouverture. Ex. ciblage faible : « suivez votre colis » - ex : ciblage important « Salut xx, je présente mon budget cet après-midi, peux tu regarder le fichier Excel ci-joint »).

Vérification des domaines (adresse expéditeur connue, fiable/non blacklistée, etc.).

Vérification de la conformité entre l’adresse et l’expéditeur. L’adresse est-elle semblable mais différente ? Au lieu de john.doe@yahoo.fr, le filtre est capable d’identifier que john.d0e@yahoo.fr cherche à usurper la première adresse (le « O » a été remplacé par un zéro « 0 »).

L’éducation et la sensibilisation à la sécurité des utilisateurs

Pour compléter sa technologie, Vade Retro a également mis en place une fonctionnalité d’alerting des utilisateurs dans les cas d’emails remis aux utilisateurs et pour lesquels un niveau de doute subsiste. L’utilisateur concerné est ainsi alerté par des bandeaux rouges alertant directement dans son email du caractère suspicieux de celui-ci afin qu’il définisse lui même le niveau de confiance à apporter. L’administrateur système est également informé de la réception de cet email, et lorsque l’utilisateur clique sur le lien qu’il pourrait contenir.

Sébastien Goutal, Chief Science Officer chez Vade Retro ajoute : « Cette technologie anti-spear phishing a été développée par Vade Retro et fait l’objet de deux brevets. La technologie Identity Match est le résultat d’années de recherches de notre laboratoire de R&D, et de retours clients. Elle s’appuie sur l’analyse quotidienne de près de 250 millions de boîtes emails ».

Exemple d’alerting utilisateur- Vade Retro

La menace du phishing plus présente que jamais
Dans son étude 2016 sur la cybercriminalité, Data Breach Investigations Report, Verizon souligne que le phishing s’est généralisé pour devenir « le scénario d’attaque privilégié du cyberspionnage » pour être aujourd’hui dans la composition de 7 des 9 scénarios d’incidents les plus fréquents (recensés par Verizon). Toujours d’après le DBIR Verizon, dans 30% des cas les emails de phishing sont ouverts et dans 13% des cas le destinataire a également ouvert la pièce-jointe ou cliqué sur le lien frauduleux.