Le phishing (hameçonnage), comme tous les types de cyberattaques, exploite le maillon faible. Cependant, à la différence de nombreuses autres attaques, le phishing exploite le comportement humain plus que les vulnérabilités techniques. Que vous soyez en train de réserver un voyage, de répondre à une invitation Zoom, ou simplement de consulter vos e-mails, dès lors que vous êtes en ligne, vous êtes une cible.
Comme il est expliqué dans le dernier rapport des menaces de phishing, qui s'appuie sur les données provenant d'environ 13 milliards d'e-mails, les attaquants s'efforcent de paraître authentiques : ils tentent de se faire passer pour les marques que nous connaissons et dont nous dépendons, puis ils profitent de la confiance avec laquelle nous interagissons dans le cadre d'une transaction commerciale normale.
Les attaquants ne s'accordent aucun répit lorsqu'il s'agit de créer des messages qui semblent authentiques pour échapper à la sécurité habituelle des e-mails. Voici plusieurs tendances majeures concernant les tactiques spécifiques qu'ils utilisent, et les stratégies qui permettent aux organisations d'empêcher ces tactiques de provoquer des violations.
Les liens trompeurs constituent la première catégorie de menaces de phishing ; ils apparaissent dans 35,6 % des détections de menace. Le texte affiché pour un lien (c.-à-d. l'hypertexte) pouvant être arbitrairement défini en HTML, les pirates peuvent faire croire qu'une URL pointe vers un site inoffensif, alors qu'elle est en réalité malveillante.
La plupart des organisations ont mis en place certains types de formation et de sensibilisation à la cybersécurité pour rappeler à leurs utilisateurs d'être vigilants à l'égard des liens présents dans des e-mails professionnels douteux. Toutefois, les attaquants placent de plus en plus leurs appâts dans des canaux où les utilisateurs sont moins prudents et cliqueront plus facilement.
Selon une technique appelée phishing multicanales, les attaques peuvent démarrer avec un e-mail et se poursuivre par messagerie SMS, messagerie instantanée, sur les réseaux sociaux, dans les services de collaboration dans le cloud et autres outils connectés à Internet et qui ne sont généralement pas protégés par des contrôles anti-phishing.
Citons comme exemple une campagne de phishing multicanale qui a donné lieu à la célèbre attaque « Oktapus » ayant ciblé plus de 130 organisations. Des personnes ont reçu des SMS les conduisant à un site de phishing usurpant l'identité du service d'authentification (SSO) Okta. Au bout du compte, près de 10 000 identifiants ont été volés.
Au cours d'une autre campagne ayant ciblé de multiples canaux de communication, les attaquants ont hameçonné un collaborateur de chez Activision puis volé les données confidentielles via les canaux Slack internes à l'entreprise.
D'après une enquête mondiale commandée par Cloudflare et menée par Forrester Consulting* :
89 % des décideurs en matière de sécurité sont concernés par les menaces de phishing multicanal.
8 personnes sur 10 déclarent que leur entreprise est exposée sur divers canaux tels que les outils de messagerie instantanée/collaboration cloud/outils de productivité, les téléphones mobiles, les SMS et les canaux sociaux.
Pour autant, seule une personne interrogée sur quatre estime que son entreprise est totalement préparée face aux menaces de phishing provenant des différents canaux.
Les attaquants continuent d'utiliser des liens car même pour le plus « entraîné » des collaborateurs (ou des solutions de sécurité), il est impossible de repérer en permanence et avec précision tous les liens malveillants. Il suffit d'un clic sur le mauvais lien pour conduire à un vol d'identifiants, à l'installation d'un logiciel malveillant et à d'importantes pertes financières.
Ce qui nous amène à une autre tendance majeure en matière de phishing : les e-mails malveillants qui échappent aux services qui sont censés authentifier l'identité de l'expéditeur (ou qui les utilisent).
Les hameçonneurs se présentent comme n'importe quelle entreprise ou marque reconnaissable pour vous inciter à cliquer. Selon les recherches effectuées, les attaquants se font passer pour près de 1 000 organisations ; Microsoft et d'autres marques avec lesquelles les personnes interagissent fréquemment dans le cadre de leur travail, par exemple Salesforce, Box, and Zoom figurent parmi les plus usurpées.
Cette tactique, connue sous le nom d'usurpation d’identité, implique le recours à une variété de techniques telles que :
Usurpation de nom d'affichage, pour laquelle le nom de l'expéditeur affiché dans les en-têtes d'e-mail visibles correspond à celui d'une marque légitime ou connue.
Usurpation de domaine, où l'attaquant enregistre un domaine très semblable à celui de la marque usurpée, mais l'utilise pour envoyer des messages de phishing.
Domaines récemment enregistrés n'ayant pas encore été répertoriés comme malveillants. (Dans le cas de la campagne 0ktapus, les attaquants ont profité d'un domaine qui avait été enregistré moins d'une heure avant l'attaque.)
Les normes d'authentification des e-mails (SPF, DKIM, and DMARC) sont souvent présentes comme un mécanisme de défense essentiel contre l'usurpation d’identité. Ces méthodes ont toutefois également leurs limites. En réalité, les recherches ont permis de déterminer que la majorité à savoir 89 % des menaces sur les e-mails avaient réussi à « passer » les contrôles SPF, DKIM ou DMARC.
De nombreuses raisons l'expliquent. Par exemple, des chercheurs d'université ont récemment décrit des failles constatées dans le transfert des e-mails et grâce auxquelles les pirates peuvent exploiter Microsoft Outlook
Il existe d'autres limitations à l'authentification d'e-mail parmi lesquelles :
Absence d'inspection de contenu : à l'instar d'une lettre envoyée en recommandé, l'authentification d'un e-mail garantit la livraison ; mais elle ne vérifie pas si le contenu d'un message comporte des URL, pièces jointes ou contenus malveillants.
Protection limitée contre les domaines « sosies » : l'authentification des e-mails ne vous avertira pas en cas de nom de domaine proche ou cousin s'il est correctement enregistré ; par exemple, un message envoyé depuis nom@exemp1e.com au lieu de nom@exemple.com.
Complexité de configuration et maintenance continue : si votre configuration est trop stricte, des e-mails légitimes risquent d'être rejetés ou marqués comme du courrier indésirable. Si elle est trop souple, votre domaine risque d'être détourné pour du phishing ou de l'usurpation d'identité.
Comme il a été expliqué avec l'échec de l'authentification des e-mails pour empêcher l'usurpation d'identité, les attaquants s'adaptent. Si elles ont envoyé des messages frauduleux concernant la COVID-19 hier (l'Organisation mondiale de la santé a été la deuxième organisation ayant le plus fait l'objet d'usurpations d'identité l'année dernière), des arnaques au nouveau paiement de prêts étudiants aujourd'hui, que contiendront les campagnes de phishing de demain ?
La grande difficulté réside dans le fait que les attaques de phishing les plus coûteuses sont très ciblées et de faible volume. Elles ne sont pas faciles à identifier par les passerelles e-mail sécurisées et réactives (SEG) qui cherchent des menaces « connues ».
Par exemple, la compromission de courrier électronique professionnel (BEC), un type d'attaque par ingénierie sociale qui ne fait intervenir aucune pièce jointe ou logiciel malveillant, est conçue pour un destinataire spécifique au sein d'une organisation. L'attaquant peut usurper l'identité d'une personne à qui la victime ciblée envoie régulièrement des messages ou il peut détourner un fil d'e-mail existant de manière légitime.
Les BEC ont coûté aux entreprises et aux particuliers 50 milliards de dollars dans le monde entier ; désormais les pertes liées à des BEC dépassent même les pertes financières liées aux rançongiciels. Voici quelques exemples qui illustrent la façon dont les attaquants ont commencé par acquérir une connaissance approfondie des opérations de la victime (et des personnes en qui elle a confiance) pour réussir à lancer ces campagnes BEC :
Des attaquants ont surveillé les e-mails d'un directeur d'exploitation (COO) et des fournisseurs d'un système scolaire et se sont fait passer pour eux afin de voler plus de 6 millions USD au début de cette année. (Découvrir cette forme complexe de BEC appelée compromission du courrier électronique).
Une série de schémas de BEC ont piégé les programmes Medicaid de l'État, les prestataires administratifs de Medicare et les assurances santé privées pour détourner au profit d'attaquants plus de 4,7 millions dollars qui étaient destinés aux comptes bancaires de l'hôpital.
En 2022, des pirates se sont fait passer pour quatre (fausses) entreprises et ont escroqué un fabricant de denrées alimentaires avec des expéditions à hauteur de 600 000 dollars. Ce type d'incident est devenu si répandu que le FBI, le département de l'Agriculture des États-Unis (USDA) et la Food and Drug Administration des États-Unis (FDA) ont adressé une note d'information conjointe aux entreprises pour « prévenir, détecter et réagir aux schémas de vols de produit associés à des BEC. » (Le coût pour l'économie mondiale des aliments volés ou « contrefaits » est estimé à 40 milliards de dollars par an).
Les campagnes de phishing très spécifiques d éjouent les plans d'action traditionnels des SEG. C'est peut-être la raison pour laquelle les analystes de Forrester ont déclaré dans un article de blog évoquant les pirates ayant exploité une vulnérabilité de la passerelle de sécurité des e-mails Barracuda : «2023 a appelé et elle ne veut pas revoir ses équipements de sécurité des e-mails. »
Les équipes de Forrester poursuivent en recommandant le transfert de la sécurité des e-mails vers le cloud, pour plusieurs raisons, dont les suivantes :
Mises à jour plus rapides et automatiques
Architecture plus simple
Évolutivité pour répondre à la demande
Aucun matériel à prévoir ou à remplacer
Résolution et atténuation plus faciles
Le remplacement d'une passerelle SEG par une solution de sécurité des e-mails dans le cloud constitue l'étape la plus importante pour prévenir le phishing. Cependant, tout comme les attaquants utilisent de multiples canaux pour lancer leurs campagnes, les entreprises doivent s'assurer de multiples couches de protection contre le phishing.
Il est indispensable de prévoir une solution anti-phishing multicouche, en particulier lorsque les applications de messagerie, de collaboration cloud et SaaS au travers de multiples appareils sont toutes exposées à des risques. Comme le fait remarquer Jess Burn, analyste principale chez Forrester, « les protections développées pour les boîtes de réception d'e-mails doivent être étendues à ces environnements et dans le flux de travail quotidien de vos collaborateurs. » Elle ajoute, « Lors de la sélection ou du renouvellement d'un contrat avec un fournisseur de solutions de sécurité des e-mails, déterminez lequel privilégie une démarche plus globale de la protection de toutes les méthodes de travail de votre personnel. »
Même si un message a été authentifié, qu'il provient d'un domaine réputé et d'un expéditeur « connu », il ne doit pas être considéré comme fiable par défaut. La prévention d'une attaque de phishing potentielle exige plutôt un modèle de sécurité Zero Trust qui garantit que tout le trafic de l'utilisateur est vérifié, filtré, inspecté et isolé des menaces de l'Internet.
Cloudflare Zero Trust protège de manière exhaustive contre les menaces de phishing et comprend :
L'intégration de la sécurité des e-mails dans le cloud avec l'isolement de navigateur à distance (RBI) pour isoler automatiquement les liens dans des e-mails douteux ; cela évite aux appareils des utilisateurs d'être exposés à du contenu web malveillant.
L'analyse proactive d'Internet à la recherche de l'infrastructure, des sources et des mécanismes de diffusion utilisés par les acteurs malveillants afin de bloquer les tentatives de phishing plusieurs jours avant le lancement de la campagne de phishing.
La détection des noms d'hôte créés spécifiquement pour le phishing de marques légitimes ; elle s'effectue par filtrage des milliards de requêtes DNS quotidiennes.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
*Source : Forrester Opportunity Snapshot : une étude personnalisée commandée par Cloudflare « Tirez parti du Zero Trust pour combattre les menaces de phishing multicanal », mai 2023.
Pour en savoir plus concernant les menaces de phishing modernes qui piègent les solutions les plus courantes de défense de sécurité des e-mails, consultez le dernier Rapport sur les menaces de phishing !
Cet article vous permettra de mieux comprendre les points suivants :
Les pirates usurpent l'identité des marques sur lesquelles nous comptons, et paraissent authentiques
L'évolution vers le phishing multicanal
En quoi la migration vers une solution de sécurité des e-mails dans le cloud constitue l'étape la plus importante pour prévenir le phishing
Le rôle joué par le Zero Trust dans la protection de l'entreprise moderne