Fingerprint et réputation : 4 stratégies utilisées par les hackers
Adrien Gendre
—31 octobre 2019
—4 min de lecture
La sécurité de l'email reste un sujet sensible pour les entreprises du monde entier. Les ransomwares, qui se faisaient discrets depuis quelques années, reviennent aujourd’hui en force. En 2019, l’un d’eux a interrompu les activités de municipalités entières aux États-Unis. La même année en Europe, des sites de productionet plusieurs entreprises du secteur de la santé ont quant à eux été victimes d’attaques à grande échelle.
Le rapport European State of the Channel Ransomware de Datto révèle que selon les prestataires de services gérés (MSP), le phishing constitue la principale méthode utilisée pour diffuser des ransomwares. Parmi les MSP ayant mentionné l’infection d’applications SaaS par des ransomwares, 49 % ont indiqué qu’Office 365 faisait partie des solutions touchées.
Tandis que les entreprises et gouvernements tentent désespérément de se remettre des attaques des ransomwares, notamment en payant des rançons à 6 chiffres, les hackers affûtent leurs armes et parviennent à contourner les filtres de sécurité de l'email classiques. Voici quelques-unes des techniques qu’ils utilisent pour y parvenir :
1. Utilisation abusive d’adresses IP
La plupart des filtres de sécurité de l'email classiques, y compris les passerelles de messagerie sécurisées, sont conçus pour reconnaître les expéditeurs d’emails malveillants sur la base de leur adresse IP et de leur domaine. Ces derniers sont ajoutés à une liste noire d’adresses IP, de domaines et d’URL, et ne peuvent ainsi pas atteindre la boîte de réception des utilisateurs.
Les hackers ont pourtant appris à contourner ces protections à l’aide d’attaques dites « snowshoe », qui consistent à envoyer des messages de phishing depuis une vaste plage d’adresses IP de confiance. Le volume envoyé depuis chaque adresse est ainsi faible, ce qui lui permet de ne pas être détecté. Pour éviter que leur nom de domaine soit placé en liste noire, les cybercriminels créent dynamiquement des domaines et usurpent des domaines ayant bonne réputation en piratant des sites Web légitimes sans que leurs webmasters s’en rendent compte.
2. Obfuscation de l’empreinte
La plupart des criminels, qu’ils le veuillent ou non, laissent derrière eux une signature ou « empreinte ». Dans le cas du phishing, cette empreinte comprend les identifiants uniques de l’email, comme son en-tête, son objet, son corps ou son pied de page. Une fois qu’un filtre de messagerie connaît un email de phishing, le détecter et le bloquer ne pose aucune difficulté. Les cybercriminels contournent cette protection en cachant leurs empreintes.
Par exemple, ils mêlent contenus légitimes et illégitimes dans le corps de leur email en ajoutant des liens vers des pages Web authentiques de Microsoft. Le filtre de messagerie commence l’analyse, détecte les URL authentiques et juge alors que l’email est sûr. Une autre stratégie du même type consiste à ajouter des caractères ou des attributs HTML aléatoires à un email de phishing connu. Dans ce cas, le code de l’email étant légèrement différent de celui d’origine, le filtre ne perçoit pas la supercherie.
Ce type d’obfuscation est particulièrement agaçant pour les destinataires qui ont déjà signalé l’email comme étant du phishing. En effet, ils savent que ce message est identique à celui reçu précédemment, mais le filtre considère pourtant qu’il s’agit d’un email différent. Visuellement, l’email est identique. Toutefois, son code, invisible pour l’utilisateur, a changé. Cet email est ainsi unique pour un filtre qui ne sait pas le voir comme le ferait un être humain.
3. Obfuscation du texte
Autre exemple d’obfuscation de l’empreinte : un email de phishing ne peut comporter que peu de contenus à analyser, voire aucun. Perturbé, le filtre le laissera passer. Ainsi, le corps de certains emails de phishing est constitué d’une image et non de texte, même si cela n’est pas évident à première vue. Cette image correspond au lien de phishing lui-même et est hébergée sur une page Web.
Les cybercriminels évitent également l’analyse textuelle en incluant tellement peu de contenus dans leur email que le filtre est incapable de rendre un verdict. Dans d’autres cas, ils remplacent certaines lettres par des homoglyphes, à savoir des caractères issus d’autres langues qui ressemblent à la lettre d’origine. Par exemple, l’œil humain est bien en peine de faire le distinguo entre la lettre cyrillique « а » et la lettre latine « a » dans un nom de domaine. Comme les exemples d’obfuscation de l’empreinte ci-dessus, les emails de phishing recourant à l’obfuscation de texte dans le code paraissent inédits pour les filtres, mais identiques pour l’utilisateur.
4. Obfuscation de l’URL
La récupération d’identifiants via une page Web constitue l’objectif ultime du phishing. Pour arriver sur cette page, les victimes doivent cliquer sur le lien contenu dans l’email. Problème : si ce lien est connu du filtre, l’email sera bloqué. Chaque problème ayant sa solution, les cybercriminels sont parvenus à cacher l’URL de diverses façons.
L’une d’elles consiste à utiliser des redirections, un mécanisme qui permet de rediriger rapidement un utilisateur d’une page Web vers une autre. Les attaques de phishing ciblant Microsoft incluent par exemple un lien légitime de Microsoft dans les emails. Cependant, une fois cet email remis à son destinataire, la page Web est redirigée vers une page de phishing. Cette technique, appelée « time-bombing », est extrêmement difficile à détecter sans exploration des liens en temps réel.
Une autre technique d’obfuscation de l’URL consiste à recourir à des outils de raccourcissement des URL comme TinyURL et Bitly. Ces outils gratuits sont conçus pour générer des URL courtes, mais sont alors utilisés pour créer des alias et masquer l’URL de phishing. Ils trompent ainsi les filtres de messagerie conçus pour reconnaître les signatures des emails de phishing.
Dépasser les défenses basées sur la reconnaissance de l’empreinte et de la réputation
Le filtrage axé sur la reconnaissance de l’empreinte et de la réputation constituait auparavant la principale méthode de blocage des emails malveillants. Cependant, les techniques de phishing évoluent et la sécurité de l'email doit faire de même. L’apprentissage automatique offre un niveau d’analyse inatteignable par les filtres de sécurité de l'email classiques, qui s’appuient sur la détection de l’empreinte et de la réputation. Les modèles d’apprentissage automatique explorent les liens en temps réel, et analysent la structure des URL, les redirections, les éléments de la page, ainsi que la structure des formulaires Web. Cette technologie active au moment du clic permet de s’assurer que l’URL mène à une page Web légitime.
Computer vision, un sous-domaine de l’apprentissage profond, va encore plus loin que l’exploration des URL et pages Web en analysant les images plutôt que le code. Elle reconnaît les images couramment utilisées dans les emails de phishing, notamment les logos de marque et les images comportant du texte, comme celle de l’exemple ci-dessus (image sous forme de lien). Elle peut également détecter et analyser les QR codes , fréquemment utilisés dans les emails de sextorsion. En voyant les images comme les êtres humains les voient, Computer visionreconnaît les emails de phishing quel que soit leur code.