Mieux cerner la nature des cyber attaques par e-mail
Pour les utilisateurs non-avertis, les e-mails peuvent présenter de nombreux dangers. Il suffit d’un seul clic imprudent dans un e-mail malveillant pour qu’une attaque d’ingénierie sociale fonctionne. Si vous tombez dans le piège, vous risquez de vous faire voler vos identifiants ou d’être victime d’une attaque de cryptomining. D’importantes sommes d’argent pourraient même disparaître de votre compte bancaire.
Ingénierie sociale
L’ingénierie sociale est une forme de manipulation et de tromperie qui est cruciale pour une attaque de phishing réussie. Le succès des attaques de phishing dépend fortement de la capacité du hacker à tromper efficacement sa victime : il doit la convaincre de faire confiance à l’expéditeur et au contenu du message.
Le phishing vise à obtenir autant d’informations que possible sur la personne ou l’entité visée. Pour maximiser les chances de succès de l’attaque, les hackers chercheront à connaître leur victime le mieux possible, à mieux la cerner. Pour ce faire, ils s’appuieront souvent des informations recueillies par le biais de renseignements open source.
Pour que son e-mail de phishing soit convaincant, il s’appuie généralement sur deux types d’informations :
- La connaissance de la structure interne, des processus et des logiciels de l’entreprise ;
- La connaissance du personnel de l’entreprise.
Les pirates informatiques peuvent également collecter d’importants renseignements sur une entreprise et ses employés en utilisant des plateformes publiques comme LinkedIn. Une offre d’emploi, par exemple, donne souvent plusieurs types de renseignements utiles :
- Processus : La description détaillée des tâches et responsabilités pour un poste spécifique.
- Structure : Des informations sur les futurs rapports hiérarchiques du professionnel recruté.
- Logiciels : Les compétences et connaissances souhaitées.
Plus un hacker détient d’informations sur sa cible, plus son attaque d’ingénierie sociale sera efficace et convaincante.
Phishing
Le phishing se trouve à la croisée des chemins, entre la cyber criminalité et l’ingénierie sociale. Il s’agit de l’une des menaces internet les plus anciennes. Elle vise à tromper un individu plutôt qu’à pirater directement un système informatique.
Le phishing est souvent utilisé pour sa facilité, sa fiabilité et sa puissance de frappe. Une attaque de phishing peut avoir différents objectifs :
- Obtenir des identifiants de connexion pour accéder à des actifs : un compte, un serveur, un réseau ou autres ;
- Obtenir des informations sensibles telles que des données financières ou personnelles ;
- Livrer des charges utiles malveillantes de type ransomware, enregistreur de frappe (keyloggers) ou cheval de Troie d’accès à distance (RAT) ;
- Convaincre les victimes de mener des activités allant à l’encontre de leurs propres intérêts, comme le transfert d’argent ou le partage de données personnelles.
Les adresses e-mails divulguées publiquement sont de plus en plus nombreuses et les tentatives de phishing sont par conséquent en augmentation. Le nombre de sites de phishing uniques détectés a atteint un niveau record. Le phishing peut être classé en deux catégories : les attaques de phishing non-ciblées et les attaques de spear phishing ciblées.
- Attaques de phishing non-ciblées : Les attaques de phishing non-ciblées sont utilisées pour atteindre un public aussi large que possible. L’objectif principal est d’inciter les victimes à cliquer sur un lien, à ouvrir une pièce jointe malveillante, à divulguer des informations sensibles ou à transférer des fonds. Ces attaques non-ciblées misent sur un nombre colossal d’envois pour obtenir des résultats. Elles sont donc plus facilement identifiées et neutralisées par les filtres de sécurité de messagerie. Ces filtres s’appuient sur les modèles de phishing existants et sur les indicateurs malveillants identifiés dans le langage utilisé, le type de contenu et les informations de domaine. Dans l’ensemble, les campagnes de phishing non-ciblées sont de moins en moins redoutables.
- Attaques de spear phishing ciblées : Les attaques de spear phishing, à l’inverse, sont utilisées pour cibler un petit groupe d’utilisateurs au sein d’une organisation spécifique. Elles s’appuient fortement sur l’ingénierie sociale et sont beaucoup plus difficile à détecter et à neutraliser. Ces attaques ciblées supposent une connaissance approfondie de l’entreprise visée et de son environnement. Souvent, seul un insider (ou ennemi venu de l’intérieur) possède de tels connaissances. Contrairement aux attaques de phishing non-ciblées, même un petit nombre d’attaques réussies peut ici causer des dommages considérables. Avec ces attaques ciblées, il suffit d’une seule tentative réussie pour compromettre une organisation toute entière.
Malware
Les e-mails restent le principal vecteur d’accès initial utilisé par les pirates informatiques : 94% des malware sont diffusés par e-mail.
Par le passé, des fichiers .exe, Java et Flash étaient joints directement aux e-mails pour inciter les utilisateurs à ouvrir le fichier exécutable et diffuser les binaires malveillants.
Les contrôles préventifs sont devenus plus sophistiqués, obligeant les cyber criminels à modifier leurs tactiques, techniques et procédures d’attaques. Aujourd’hui, les malware sont souvent diffusés en pièces jointes de documents commerciaux moins suspects ou via des URL, par le biais de communications régulières et valides, ou bien via d’autres applications
Près de 50 % de toutes les pièces jointes malveillantes sont des documents Office contenant des macros, des scripts et d’autres exploits cachés qui, une fois activés, téléchargent des charges utiles supplémentaires telles que des ransomware ou des RAT. Pour le reste, il s’agit d’applications Windows (26%) ou d’autres formats comme les archives et fichiers .js (22%).
Ransomware
Jusqu’à récemment, les hackers utilisaient surtout le ransomware pour mener attaques massives ciblant les particuliers. Ils ciblent désormais les entreprises pour obtenir des revenus plus importants. Pour maximiser leurs chances de percevoir la rançon, ils ont également modifié leur mode opératoire.
Plutôt que de déployer immédiatement le ransomware ou d’exfiltrer des données après leur intrusion initiale, ils préfèrent passent un certain temps sur le réseau de l’entreprise, pour s’implanter le plus largement possible avant de passer à l’action. Ils veillent à ce que le plus grand nombre de données possible soit exfiltré et qu’une grande partie du réseau de l’entreprise soit chiffrée, afin de maximiser les chances de paiement de la rançon. L’objectif, toutefois, n’est pas toujours financier : le ransomware est parfois utilisé comme prétexte par des individus cherchant en réalité à porter atteinte au fonctionnement de l’entreprise.
Les conséquences d’une attaque par e-mail réussie sont nombreuses. Une approche multicouche est essentielle pour protéger les entreprises contre ce type d’attaques. Pour en savoir plus sur la sécurisation des messageries électroniques, consultez notre nouveau livre blanc.
Catégories