Attaque de phishing : « Toujours au bureau ? » – Une surprise redoutable

Qui n’a jamais reçu d’email de phishing ? Nous avons tous été victimes d’une tentative d’attaque de ce genre. Avec le temps, les utilisateurs finaux et les solutions de sécurité de l’email ont appris à les reconnaître, forçant les hackers à changer leur fusil d’épaule. Une de leurs nouvelles techniques, dite du « contact initial », reste probablement moins connue.

Dans les films de science-fiction, les extraterrestres établissent un contact initial à l’occasion d’une simple visite d’exploration. L’idée est alors d’évaluer les terriens avant de les envahir. Le concept est le même dans le contexte du spear phishing. Le pirate veut établir un contact légitime avec sa victime avant de passer à l’attaque.

Découvrez les techniques de spear phishing utilisées par les hackers pour  cibler votre entreprise.

Qu’est-ce qu’un contact initial ?

Les emails de contact initial n’incluent aucun élément malveillant, qu’il s’agisse de liens ou de pièces jointes. Ils sont généralement concis et posent une question du type « Tu es disponible ?», « Tu es au bureau ?» ou encore « Tu peux m’aider sur un projet ? ». L’idée est d’attirer l’attention du destinataire pour obtenir une réponse. Lorsque l’utilisateur répond, il est mûr pour l’attaque : il s’attend à ce que son correspondant lui demande quelque chose.

Toute l’idée de ce type d’email est là : pousser l’utilisateur à répondre pour que l’adresse du hacker soit ajoutée en liste blanche par le filtre de sécurité de l’email. En effet, la réponse de l’utilisateur rend la conversation légitime et ouvre la voie à de nouveaux échanges.

Exemples de contact initial

Dans une récente campagne de ce type, les hackers ont exploité la pandémie de COVID-19. Ils ont ciblé des chercheurs en maladies infectieuses et du domaine médical en se faisant passer pour un journaliste d’une revue connue.

Comme le rapporte l’UCLA, « après avoir établi un contact initial, les cybercriminels semblent lancer des échanges suivis avec toute personne leur ayant répondu. L’attaquant peut même programmer une conversation téléphonique et envoyer pour ce faire un faux lien Microsoft Teams. Une fois que l’utilisateur a accepté le lien, le code malveillant essaie de s’exécuter sur son système pour le compromettre et récupérer des informations personnelles et financières. »

Il n’est pas étonnant que les hackers soient parvenus à utiliser ou usurper l’identité de Microsoft. D’après l’étude de Vade, 56 % des emails de spear phishing ciblant des tenants Microsoft 365 basés aux États-Unis au cours du 4e trimestre 2021 peuvent être rangés dans la catégorie des attaques de contact initial, contre seulement 9,4 % dans la catégorie de la fraude au PDG. Pour les tenants Microsoft 365 basés en Europe, ces chiffres étaient de 63 % pour le phishing de contact initial et seulement 6,2 % pour la fraude au PDG.

Les produits cloud de Microsoft sont très prisés par les entreprises, et leurs utilisateurs sont donc des cibles faciles pour les hackers. En usurpant l’adresse d’une personne haut placée membre de l’environnement cloud de Microsoft, il devient bien plus facile de trouver une victime potentielle. Ces attaques de spear phishing offrent un point d’entrée efficace, car ce type d’email ne ressemble pas à du spam et ne contient ni lien ni pièce jointe malveillants.

Ces emails aident également l’attaquant à cibler l’utilisateur qui lui sera le plus utile. Bien souvent, ils lui servent ainsi de moyen d’exploration. Par exemple, il peut chercher un employé en mesure d’autoriser des transferts de fonds ou le paiement de facture, ou le contact des RH qui peut modifier les comptes bancaires et numéros de routage des comptes sur lesquels sont versés les salaires.

L’efficacité de ce type de scam, consistant à préparer l’utilisateur avant de passer à l’attaque, repose sur plusieurs niveaux de confiance. Le destinataire fait confiance à l’expéditeur. Les échanges n’étant pas inhabituels, l’utilisateur est suffisamment confiance pour répondre.

Cette confiance est bien mal placée, car les adresses email professionnelles, en particulier dans les plateformes cloud, sont faciles à usurper et n’offrent qu’un obstacle très limité, comme l’explique CRN. Toute personne recevant des dizaines d’emails par jour sait bien qu’elle ne jette à chacun qu’un coup d’œil rapide avant de décider d’y répondre ou non. Si aucun point de l’email de contact initial ne sort de l’ordinaire, son destinataire y répondra.

C’est une victoire facile pour les hackers, car les victimes ne comprennent l’attaque que lorsqu’il est trop tard. Tant que les utilisateurs n’auront pas bénéficié d’une formation de sensibilisation pour mieux reconnaître les emails de contact initial, ils continueront d’y répondre et de faire courir un risque à leur organisation.

Découvrez les techniques de spear phishing utilisées par les hackers pour  cibler votre entreprise.