Blog › Anatomie d’un email de spear phishing

Anatomie d’un email de spear phishing

01 août 2019

01 août 2019

min

5 min

Romain Basset
Romain Basset

Quand avez-vous étudié chaque caractéristique d’un email pour la dernière fois ? Nom de l’expéditeur, objet, horodatage, salutation, corps du message, signature... Si vous êtes une personne raisonnablement occupée, la réponse est sans doute « jamais ». Les hackers le savent bien, et c’est pour cette raison que les attaques de spear phishing parviennent si fréquemment à leurs fins.

Un email de spear phishing n’a qu’un seul objectif : détrousser les particuliers et les entreprises. Pour y parvenir, les hackers ont recours à toute une gamme de techniques : demandes d’achat de cartes cadeaux, de virement, de règlement de facture ou encore de modification d’informations bancaires. Une attaque de spear phishing commence par une usurpation d’identité et aboutit presque invariablement à une demande urgente. Ciblée et personnelle, cette stratégie a bien souvent des conséquences financières désastreuses pour ses victimes. Lorsqu’ils s’attaquent à des PME, les hackers multiplient les demandes de petites transactions. Il est ainsi difficile de les détecter, ce qui dope leurs chances de réussite.

Bien qu’il soit difficile de repérer les emails de spear phishing, tous partagent des caractéristiques communes :

Adresse de l’expéditeur

L’adresse de l’expéditeur n’est pas toujours celle qu’elle paraît être. Les cybercriminels ont en effet recours à l’usurpation d’adresse email. Plusieurs techniques sont possibles.

  • Utilisation visible d’un alias : le nom de l’expéditeur est usurpé, mais pas l’adresse email. L’expéditeur semble alors être une connaissance, un collègue par exemple, mais l’adresse email est différente de l’habituelle. Aussi connue sous le nom d’usurpation du nom d’affichage, cette technique est la plus fréquente. Elle ne demande en effet quasiment aucune compétence technique, est très simple à mettre en œuvre et relativement efficace, car peu de personnes s’intéressent à l’adresse email : la plupart des gens regardent simplement le nom de l’expéditeur. Elle est particulièrement redoutable pour les employés, car les dirigeants d’entreprise utilisent de temps à autre leur adresse personnelle à des fins professionnelles. Par ailleurs, l’adresse n’est généralement pas visible par défaut sur les appareils mobiles et peu d’utilisateurs prennent la peine d’appuyer sur le nom d’un expéditeur pour l’afficher.
  • Usurpation du domaine : Plus sophistiquée, mais plus simple à détecter, l’usurpation de domaine permet aux cybercriminels de choisir une adresse d’expéditeur.  Dans ce cas, l’utilisateur n’a aucun moyen de savoir qu’un email ne vient pas d’une source de confiance, un collègue par exemple. Les protocoles SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain Message Authentication Reporting & Conformance) protègent de l’usurpation exacte des domaines en bloquant les expéditeurs non inclus sur une liste publique d’expéditeurs de confiance.
  • Voisin proche : L’usurpation par voisin proche consiste à utiliser une adresse email très proche d’une adresse légitime. Par exemple, le domaine mycompany.com peut devenir mycompany.ltd.com ou mycompanyglobal.com. L’idée est que l’utilisateur ne regarde pas l’adresse de trop près et ne remarque pas cette anomalie. Les protocoles SFP, DKIM et DMARC sont impuissants face à cette technique.

Une adresse email usurpée est ainsi la première étape d’un email de spear phishing réussi. Si la victime ne regarde pas attentivement l’adresse email ou si celle-ci est la réplique exacte d’une adresse légitime, le piège s’est déjà refermé.

Objet

Soyez attentif à l’objet des emails que vous recevez. Les emails de spear phishing incluent souvent des objets visant à faire réagir leur cible sans délai, à l’aide de mots-clés comme « urgent » ou « rapidement ». Utilisés par un dirigeant ou un cadre de votre entreprise, ces termes sont particulièrement motivants. Ils peuvent pousser la victime à ignorer des anomalies qui auraient dû l’alerter et répondre immédiatement pour satisfaire son supérieur.

Pretexting

Toutes les attaques de spear phishing n’ont pas recours au pretexting, mais les hackers les plus doués s’en servent de plus en plus pour « préparer » leurs victimes. Le pretexting est une forme d’ingénierie sociale consistant à gagner la confiance d’un utilisateur en un ou plusieurs emails.

Il permet également d’identifier la bonne victime. Par exemple, le hacker peut contacter un utilisateur et lui demander s’il est en mesure de répondre à sa demande, comme le passage d’un virement, la modification d’informations bancaires ou la réalisation d’un achat important. Si l’utilisateur répond par la négative, le hacker peut lui demander à qui il doit s’adresser.


[Webinair on Demand] The Anatomy of a Spear Phishing Attack En anglais sous-titré Français


Corps

En règle générale, toute demande d’ordre financier doit être analysée de manière approfondie pour garantir sa légitimité.  Si la stratégie du hacker inclut du pretexting, le corps de l’email commencera par quelques phrases amicales avant de passer progressivement à la formulation de la demande. Par le passé, les hackers allaient droit au but et demandaient sans attendre à leur victime d’effectuer une transaction financière. Toutefois, dans le cadre de montants importants, cette stratégie déclenche de nombreux signaux d’alerte, aussi se sont-ils adaptés.  Les cybercriminels font souvent la conversation sur la base des informations qu’ils ont pu récupérer lors de leurs recherches. Ils peuvent ainsi demander à leur victime comment ce sont passées ses vacances ou la féliciter pour sa promotion. Cette familiarité désarme la victime et la rend plus vulnérable.

Une fois la conversation entamée, le hacker formule sa demande. Presque systématiquement, il met en place un sentiment d’urgence. Sous pression, la victime se sent tenue de réagir rapidement, sans prendre le temps de déterminer si la demande est légitime. Son auteur semblant être un haut dirigeant, la pression est encore plus forte. La peur des conséquences et l’envie de bien faire sont des moteurs psychologiques puissants, qui poussent les victimes à ignorer les signaux d’alerte.

Dans l’exemple ci-dessous, un hacker se fait passer pour un PDG et explique avoir besoin d’offrir des cartes cadeaux à ses clients lors d’une prochaine réunion, et que le temps presse. Vous noterez la présence des termes « achat », « rapidement » et « urgent ». Tout PDG envoyant un email ainsi formulé à l’un de ses employés est sûr d’obtenir une réaction rapide. Ces termes sont si courants dans le monde du spear phishing que les modèles d’apprentissage automatique de Vade Secure sont entraînés à les repérer (avec d’autres) lors de l’analyse des emails.

Signature

Un hacker talentueux pensera à utiliser dans son email une signature correspondant à celle de la personne pour qui il se fait passer. Lorsqu’il n’est pas possible de l’imiter parfaitement, il y ajoutera des informations supplémentaires pour créer un faux sentiment de sécurité. Par exemple, si le cybercriminel ne parvient pas à reproduire une adresse à l’identique et utilise à la place une adresse Gmail ou Yahoo, il ajoutera une note dans sa signature expliquant que l’email a été envoyé depuis un smartphone ou une tablette. Il est ainsi plus facile de croire que le dirigeant a utilisé une adresse personnelle.

Les fautes sont également plus courantes sur ces appareils : les hackers peuvent donc en profiter pour s’excuser des erreurs de frappe et de la brièveté de leur message dans la signature. Cela rend ainsi plus crédible l’idée selon laquelle un dirigeant pourrait envoyer un email mal écrit, typique des hackers peu avertis.

Protéger vos clients des attaques de spear phishing

Il est essentiel de former vos clients aux dangers du spear phishing pour les protéger de ces menaces. En plus de formations de sensibilisation à la sécurité, vous devez leur fournir une solution proposant une formation au fil de l’eau, qui offre des piqûres de rappel lorsqu’ils répondent à un email de spear phishing pour qu’ils comprennent immédiatement la situation et apprennent de leur erreur.

Les solutions de sécurité de l'email combattent désormais mieux les attaques de phishing, mais la plupart sont impuissantes face au spear phishing. La nature des attaques, notamment l’absence d’URL et de pièces jointes, rend les emails de spear phishing extrêmement difficiles à détecter. Vade Secure pour Office 365 s’appuie sur des modèles d’apprentissage automatique pour analyser l’origine, le contenu et le contexte des emails. Entraînés à identifier les usurpations, les formulations et les comportements typiques du spear phishing, ces modèles sont mis à jour en continu pour faire face aux menaces les plus récentes.


Abonnez-vous à nos alertes pour recevoir nos derniers articles de blog