Anatomie des attaques par compromission des adresses e-mail des fournisseurs

Des attaques de jeu lent avec un gros gain

Les attaques par compromission des e-mails professionnels (BEC) ont évolué

Les attaques par phishing sont depuis longtemps un fléau pour les organisations du monde entier, qu'il s'agisse de spear-phishing ciblant des employés ou d'escroqueries plus générales comme la fraude par avance de fonds, qui consiste à demander une petite somme d'argent en échange d'un paiement plus important.

Récemment, une nouvelle technique, la compromission des adresses e-mail des fournisseurs (VEC), est venue mettre la barre encore plus haut pour les entreprises qui cherchent à protéger leurs utilisateurs contre les escroqueries.

Comme les attaques par compromission des adresses e-mail professionnelles (BEC), les attaques VEC consistent à usurper l'identité d'un tiers de confiance et à envoyer des e-mails qui semblent légitimes, mais qui sont pourtant malveillants. Alors que les attaques BEC traditionnelles prétendent généralement provenir d'une personne de confiance au sein de l'organisation, les attaques VEC vont plus loin : les pirates se font passer pour des fournisseurs (ou d'autres tiers de confiance) afin d'inciter leur cible à payer des factures frauduleuses, à divulguer des données sensibles ou à autoriser l'accès aux réseaux et systèmes de l'entreprise.

Selon une enquête récente, 98 % des entreprises interrogées ont déjà été impactées par une faille de cybersécurité survenue dans leur chaîne d'approvisionnement. Et ces attaques ont un coût non négligeable pour les organisations. En une attaque seulement, un fabricant du groupe Toyota a perdu plus de 37 millions de dollars après avoir suivi des directives de paiement frauduleuses venant d'un tiers malveillant.Dans l'ensemble, les rapports du FBI indiquent que les attaques par BEC (qui englobent les attaques VEC) ont représenté collectivement 43 milliards de dollars de pertes au cours des cinq dernières années.

En raison de la nature personnalisée des attaques VEC, l'identification des demandes malveillantes peut s'avérer extrêmement difficile, même pour des professionnels de la sécurité chevronnés. Par ailleurs, ces attaques sont de plus en plus fréquentes, notamment en raison de l'adoption croissante du télétravail et des systèmes de messagerie électronique dans le cloud, qui ne sont pas toujours dotés de fonctions de sécurité natives ou activées contre le phishing.

Pour garder une longueur d'avance sur ces techniques de phishing en constante évolution, il est essentiel d'adopter une stratégie de sécurité des e-mails à plusieurs facettes, conçue pour détecter et signaler les extensions d'adresse e-mail et les changements d'URL suspects, valider les noms de domaine et examiner rigoureusement les demandes de tiers.

Principe des attaques VEC

La compromission des adresses e-mail des fournisseurs (ou « compromission de la chaîne logistique financière ») est plus sophistiquée et plus ciblée que les attaques BEC standard, qui n'ont pas nécessairement besoin d'être personnalisées pour un individu pour fonctionner.

Dans une attaque BEC, un acteur malveillant se fait passer pour une personne spécifique au sein d'une organisation, souvent un PDG ou une personne ayant une certaine autorité. Puis le pirate envoie des demandes à plusieurs cibles au sein de l'organisation.

Par exemple, un pirate peut envoyer des demandes de paiement génériques aux employés tout en prétendant être le PDG de l'entreprise. Bien que ce type de demande puisse sembler légitime, un employé peut facilement déceler son caractère frauduleux en vérifiant lui-même la demande auprès du PDG.

Les attaques VEC, quant à elles, exigent généralement une meilleure compréhension des relations commerciales existantes, comme des détails sur les projets en cours, des données budgétaires et des informations sur les calendriers des transactions financières. Ce processus de recherche peut prendre des semaines, voire des mois, mais le gain potentiel pour le pirate est bien supérieur à celui des méthodes d'attaque plus généralisées, car il faut beaucoup plus de temps à la cible pour identifier l'attaque et empêcher les paiements.

Une fois qu'un pirate a convaincu sa cible d'interagir avec lui, il peut alors mener d'autres actions malveillantes, comme demander le paiement de fausses factures, falsifier les détails du compte de facturation, recueillir des informations sensibles sur l'organisation ciblée, etc.

Le schéma ci-dessus illustre une séquence d'attaque VEC, dans laquelle le pirate s'infiltre dans le compte de messagerie d'un fournisseur pour effectuer des demandes de paiement frauduleuses.

Déroulement d'attaques VEC réelles

Lors d'une récente série d'attaques, le FBI a découvert que les pirates se faisaient passer pour des entreprises de construction basées aux États-Unis, un secteur dont le chiffre d'affaires annuel moyen s'élève à 1 900 milliards de dollars. Les pirates ont recherché les principales entreprises de construction du pays et ont recueilli des données publiques et privées sur la clientèle de ces entreprises.

Puis ils ont utilisé la technique de l'usurpation de domaine pour créer des comptes de messagerie dont ils se sont servi pour envoyer des communications frauduleuses aux organisations ciblées, en leur demandant souvent une modification des coordonnées bancaires. En utilisant des tactiques de VEC avec des e-mails, des demandes de factures et des détails de versement personnalisés en fonction de chaque cible (sur la base des données déjà recueillies), les pirates ont pu extorquer plusieurs centaines de milliers, voire plusieurs millions de dollars, aux organisations.

Souvent, le FBI a noté qu'il avait fallu « des jours, voire des semaines » avant que les victimes ne s'aperçoivent que l'attaque avait eu lieu. De plus, les possibilités de recouvrement financier étaient limitées : après avoir viré par erreur 840 000 dollars à une entreprise de construction frauduleuse, un district scolaire n'a pu récupérer que 5 000 dollars des fonds volés.

Comment identifier les tentatives d'attaques VEC

Comme la plupart des attaques de phishing avancées, les attaques VEC sont difficiles à détecter. Les pirates utilisent souvent une combinaison de méthodes d'attaque pour rendre leurs messages plus réalistes, que ce soit en usurpant le domaine d'un fournisseur réputé ou en mettant en avant des informations qui ne sont pas forcément publiques afin de « démontrer » leur légitimité.

Trois raisons principales expliquent pourquoi les attaques VEC échappent généralement à la détection :

1. Le fournisseur ou le vendeur initial ne se rend pas compte qu'il a été compromis.

2. La campagne se déroule sur des périodes prolongées et sur plusieurs fils de messagerie, où la plupart des conversations sont inoffensives et ne contiennent pas de contenu malveillant.

3. Les appels à l'action (par exemple, le paiement d'une facture récurrente) ne sont pas signalés comme suspects, car ils sont conçus pour paraître légitimes et non urgents.

Pour prévenir les attaques VEC, les organisations ont besoin d'un partenaire de sécurité capable de les aider à vérifier les e-mails entrants et à atténuer les activités frauduleuses. Voici quelques stratégies utiles pour prévenir les attaques VEC :

• Configurer les paramètres de messagerie pour identifier et bloquer les tentatives de phishing.Utilisez des protocoles de sécurité rigoureux pour analyser et signaler les e-mails malveillants.

  • Empêcher l'usurpation des adresses e-mail en utilisant des protocoles d'authentification des e-mails tels que Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication Reporting and Conformance (DMARC)

  • Abandonner les protocoles de messagerie moins sûrs comme POP, IMAP, et SMTP

  • Signaler les URL suspectes grâce aux règles du système de détection des intrusions (IDS)

  • Utiliser l'authentification multifacteur (MFA) pour vérifier l'accès des tiers et les demandes de modifications au niveau du compte (comme la réinitialisation des mots de passe)

• Contrôler les demandes de transaction de tiers.Vérifiez toutes les informations sur les transactions et les détails des comptes auprès des parties concernées avant d'approuver les demandes de transfert de fonds.En outre, mettez en place un processus formel de vérification et d'approbation lorsqu'un fournisseur existant modifie ses informations bancaires.

• Sensibiliser les employés aux nouvelles escroqueries.Les techniques de phishing évoluent en permanence pour échapper aux mesures d'atténuation.Sensibilisez régulièrement les employés aux signes courants de menaces par e-mail afin de réduire les chances de réussite d'une attaque.

  • Appliquer les méthodes d'atténuation et les processus internes développés par votre organisation pour identifier les attaques par e-mail

  • Former les utilisateurs à l'examen des e-mails pour rechercher des éléments de phishing courants : fautes de frappe dans les noms de domaine, liens hypertextes contenant des variantes d'URL réels (par exemple, « RealCo.com » au lieu de « RealCompany.com »), etc.

  • Encourager les employés à adopter de bonnes pratiques dans leur messagerie (ne pas répondre aux demandes non sollicitées ou urgentes d'informations personnelles ou financières)

Détecter et éviter les attaques VEC avec Cloudflare

La solution Cloudflare de sécurité des e-mails protège les entreprises contre un large éventail d'attaques, telles que les tentatives de compromission des adresses e-mail des fournisseurs ciblées et à long terme.Grâce à une combinaison d'exploration du Web, d'analyse des modèles et de techniques de détection avancées, notre solution recherche sur Internet l'infrastructure des pirates, analyse les messages pour identifier les éléments suspects et empêche les e-mails de phishing d'atteindre la boîte de réception.

Cette solution de protection avancée des e-mails repose sur le réseau mondial de Cloudflare, qui bloque en moyenne 209 milliards de cybermenaces par jour. Les organisations disposent ainsi de données réunissant des informations uniques sur les menaces, qui leur permettent de filtrer plus efficacement les attaques par phishing ciblées et d'autres cybermenaces. Intégrée à part entière dans la plateforme Cloudflare Zero Trust, elle contribue à fournir une sécurité continue et complète aux utilisateurs distants comme aux utilisateurs sur site.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

• Comment les attaques VEC infiltrent les organisations

• Les signes avant-coureurs d'une attaque VEC

• Les stratégies qui permettent d'identifier et d'arrêter les attaques sophistiquées par phishing

Ressources associées

• Évaluation du risque de phishing

• Webinaire : Phishing et compromission des adresses e-mails professionnelles

• Tout a commencé par une tentative de phishing : rapport sur la sécurité des e-mails 2021

• Fiche technique : la solution Cloudflare de sécurité des e-mails