Dans les coulisses des campagnes de phishing modernes de 2019

L’actualité du monde de la cybersécurité est dominée par des gros titres sur les logiciels malveillants, les ransomwares, les atteintes aux données, les vulnérabilités d’applications, les menaces IdO, ou encore les attaques par réseaux de zombies. Mais le phishing est une menace sérieuse depuis le début des années 2000 et est généralement considéré comme le vecteur d’attaque le plus courant pour les cybercriminels.

Aujourd’hui, le phishing n’est plus une question de volume. Ces menaces véhiculées par e-mail sont désormais affinées pour réussir à piéger une cible de grande valeur afin de l’inciter à réaliser une action particulière : cliquer sur un lien malveillant, ouvrir un fichier contenant des logiciels malveillants, fournir un mot de passe, ou autoriser des transactions financières.

Dans la course actuelle au cyberarmement, les acteurs des menaces essaient constamment de contourner les systèmes de sécurité. Dans le contexte de l’e-mail comme vecteur de menace, le phishing a évolué en différents types d’attaques : spear-phishing, usurpation d’identités ou encore attaque par piratage de la messagerie en entreprise (BEC). Ces messages sont hautement ciblés et font l’objet d’importants efforts d’ingénierie sociale pour sélectionner et étudier soigneusement la victime.

Le volume global du phishing est en baisse, mais les attaques sont nettement plus ciblées

Dans le Rapport 2019 sur les cybermenaces de SonicWall, nos spécialistes en menaces des Capture Labs ont enregistré 26 millions d’attaques par phishing dans le monde, soit une baisse de 4,1 % par rapport à 2017. Au cours de cette période, le client moyen de SonicWall a été confronté à 5 488 attaques par phishing.

Volume mondial des attaques par phishing en 2018

Alors que les entreprises s’efforcent de bloquer les attaques par e-mail et de s’assurer que les employés peuvent repérer et supprimer les e-mails suspects, les pirates informatiques changent de tactiques. De nouvelles données suggèrent qu’ils réduisent le volume global des attaques et lancent des attaques par phishing hautement ciblées (p. ex. des attaques lors du Black Friday et du Cyber Monday).

Découvrez les cinq tactiques courantes que les pirates informatiques utilisent pour dérober des identifiants, déployer des logiciels malveillants, infiltrer des réseaux, et nuire aux marques.

  1. URL malveillantes et sites Web faux ou usurpés
    Suite aux améliorations des solutions de messagerie électronique sécurisées qui atténuent le phishing, les cybercriminels ont maintenant recours à des méthodes innovantes pour exécuter des attaques ciblées, comme l’utilisation d’URL comme arme dans les e-mails pour fournir des charges utiles malveillantes, ou la création de sites Web de phishing avec de fausses pages de connexion pour recueillir les identifiants de connexion des utilisateurs. Fin 2017, il a été rapporté que 1,5 million de sites de phishing sont créés chaque mois. Et la détection des sites de phishing est devenue plus difficile parce que les pirates informatiques masquent les URL de phishing avec de multiples redirections et des URL raccourcies.
     
    De plus, environ la moitié de ces sites de phishing utilisent des certificats HTTPS et SSL, ce qui permet aux cybercriminels de tromper plus facilement leurs victimes.
     
    Source: « PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users, » Avanan, août 2018.
     
    Selon le rapport de renseignements de sécurité de Microsoft, « les pirates informatiques utilisent de plus en plus de sites et services populaires de partage de documents et de collaboration pour distribuer des charges utiles malveillantes et de faux formulaires de connexion qui sont utilisés pour dérober des identifiants utilisateur. »
  2. Phishing ciblant les utilisateurs des applications Office 365

     
    Les services SaaS et de messagerie Web sont de plus en plus ciblés par les campagnes de phishing. Selon le groupe de travail anti-phishing (APWG), le phishing ciblant les services SaaS et de messagerie Web a doublé au cours du quatrième trimestre 2018. Office 365 étant la plate-forme de messagerie cloud la plus populaire dans les organisations de toutes tailles et de tous les secteurs verticaux, il n’est pas surprenant que Microsoft soit la marque faisant le plus l’objet d’usurpations.
     
    « À mesure que la part de marché SEG (passerelles sécurisées de messagerie électronique) de Microsoft augmente, les pirates futés cibleront spécifiquement les défenses de Microsoft », signale Gartner.
     
    Ceci n’est pas inconcevable car toute personne munie d’une carte de crédit peut avoir un abonnement Office 365, ce qui rend les fonctionnalités de sécurité de cette personne tout à fait accessibles aux cybercriminels. Cela permet en théorie aux groupes criminels de concevoir des campagnes de phishing qui peuvent échapper aux défenses d’origine de Microsoft. En fait, dans un autre rapport, les chercheurs ont découvert que 25 % des e-mails de phishing contournent la sécurité d’Office 365.

  3. Identifiants de connexion compromis
    En janvier 2019, le chercheur en sécurité Troy Hunt a découvert « Collection 1 », une mine de 773 millions d’adresses e-mail et 21 millions de mots de passe à vendre sur un forum de pirates informatiques. Ces combinaisons d’identifiants utilisateur et de mots de passe compromis sont utilisées pour lancer des attaques depuis l’intérieur. Une attaque courante consiste en un piratage de compte impliquant des acteurs de menace qui compromettent les identifiants professionnels des employés soit en lançant une campagne de phishing sur les identifiants de connexion contre une organisation soit en achetant des données de connexion récupérées après des fuites de données sur le Darkweb. L’acteur de la menace peut alors utiliser les identifiants volés pour obtenir un accès ou des privilèges supplémentaires. Les atteintes aux identifiants de connexion peuvent ne pas être découvertes pendant des mois, voire des années.
  4. Usurpation d’identité, arnaque au président, et attaque par piratage de la messagerie en entreprise (BEC)
    Selon le FBI, les attaques par piratage de la messagerie en entreprise (BEC) sont une escroquerie visant les entreprises qui travaillent avec des fournisseurs étrangers et/ou les entreprises effectuant régulièrement des paiements par virement électronique. Ces arnaques sophistiquées sont perpétrées par des fraudeurs compromettant des comptes de messagerie par le biais d’ingénierie sociale ou de techniques d’intrusion sur ordinateur pour effectuer des transferts de fonds non autorisés. Les attaques de ce type sont difficiles à stopper car elles ne contiennent pas de liens ou de pièces jointes malveillants, mais consistent en un message à la victime qui semble provenir d’un expéditeur de confiance demandant un transfert de fonds.
     
    Le FBI Internet Complaint Center (IC3) a signalé l’été dernier qu’entre octobre 2013 et mai 2018, les pertes totales au niveau mondial pour les arnaques de type BEC connues ont atteint 12,5 milliards de dollars.
  5. Fichiers PDF et documents Office malveillants en pièces jointes
    Les pièces jointes aux e-mails sont un mécanisme d’envoi populaire pour les charges utiles malveillantes, comme les ransomwares et les programmes malveillants inédits. Les spécialistes en menaces des Capture Labs de SonicWall ont récemment mis en lumière une augmentation importante de fichiers PDF malveillants ou frauduleux. Ces campagnes frauduleuses profitent de la confiance que les destinataires accordent aux fichiers PDF qu’ils considèrent comme étant « sûrs » et qui sont fréquemment utilisés dans les opérations commerciales. Je recommande la lecture de « New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics », écrit par Dmitriy Ayrapetov, directeur exécutif de la gestion de produits, pour en savoir plus sur ces types de campagnes de phishing et sur la manière de les arrêter.