D’où viennent les attaques de phishing ?

La prolifération d’outils numériques basés dans le Cloud dans nos vies professionnelles et privées se traduit par une augmentation importante du volume de courriers électroniques. En plus des emails de LinkedIn, Facebook et Twitter, beaucoup de gens reçoivent aussi un flux constant de notifications provenant des systèmes de gestion de projet, des plateformes de partage de fichiers et plus encore.

Si les gains de productivité sont indéniables, c’est également l’occasion rêvée pour les hackers de lancer des attaques de phishing et de spear phishing en se cachant derrière la légitimité d’expéditeurs tiers.

Le Phishing Facebook

Le « phishing Facebook » est une expression générique qui désigne les attaques de phishing et de spear phishing basées sur les notifications par email de tout un éventail de médias sociaux et solutions de productivité, y compris :

• Les réseaux sociaux comme Facebook, LinkedIn ou Twitter
• Les plateformes de stockage sur le Cloud comme Dropbox, Box ou Google Drive
• Les outils de gestion de projet comme Trello, Basecamp ou Asana

Ces expéditeurs tiers peuvent s’avérer particulièrement problématiques, car les principaux filtres antispam et antiphishing n’arrivent pas à les identifier. Pour signaler un message comme malveillant, ces solutions ne recherchent qu’un nombre restreint d’indicateurs. S’il n’y a pas de menace immédiate hébergée sur la page de destination du lien (ou s’il n’y a tout simplement pas de lien), les filtres antispam standards considèreront ces messages comme authentiques. Cela rend vos cadres et vos employés particulièrement vulnérables à une attaque de phishing Facebook.

Fonctionnement

Certaines attaques tierces prennent essentiellement la forme d’une attaque de phishing de masse via les médias sociaux. Bien que gênantes, ces attaques de masses sont en général rapidement contenues.

Figure 1 – Lien de phishing dans un post sur tweeter.

Les attaques les plus dangereuses sont celles qui ciblent précisément l’un de vos cadres ou employés ayant accès à des données sensibles. Ce type d’attaque, appelé « spear phishing », est presque impossible à détecter pour les systèmes de sécurité standard.

Les attaques peuvent venir de deux sources :

• Une adresse usurpée : l’expéditeur semble être issu d’une source de confiance comme Facebook, un projet Cloud ou un système de gestion de fichiers, alors qu’il s’agit en réalité d’une fausse adresse email.
• Un compte authentique (et potentiellement très familier) : l’adresse appartient à l’un de ces expéditeurs tiers. Le hacker peut avoir accédé au véritable compte de l’utilisateur via une précédente attaque de phishing ou encore trouvé ou deviné ses informations de connexion. De nombreux mots de passe sont en effet réutilisés ou ne sont pas vraiment sûrs. Et comme les comptes ne sont en général pas gérés par les services informatiques, il y a peu de choses que l’entreprise puisse faire pour les protéger.

Quelle que soit la situation, il est plus probable que les utilisateurs interagissent avec ces messages plutôt qu’à des emails standard, car le système tiers semble garantir leur authenticité.

Une fois que le hacker a établi un certain degré de confiance, il peut commencer l’attaque proprement dite en demandant à la victime ses informations de connexion, en déplaçant la conversation vers un lieu moins surveillé ou en dirigeant l’utilisateur vers une URL malveillante.

À ce stade, il est fort probable que votre réseau et vos fichiers soient déjà compromis.

Imaginez, un de vos employés reçoit un email Facebook de la part d’un de ses amis que nous appellerons « Jean ». Que le hacker ait déjà ou non piraté le compte de Jean ou qu’il usurpe simplement son identité n’est pas important pour le moment, du moment que l’employé pense Jean est bien l’expéditeur. L’email demande à votre employé de s’inscrire sur un site Web afin d’organiser une fête d’anniversaire pour une amie commune à Jean et votre employé : « Marie ». Comme d’habitude, les nouveaux utilisateurs de cet « outil de planification d’anniversaire » sont invités à créer un compte et, comme d’habitude, votre employé saisit son adresse email et son mot de passe habituel, un mot de passe que le hacker peut désormais essayer sur votre réseau et vos services SaaS. Vous vous êtes fait avoir !

La brèche s’est faite sans que :

• Votre système de protection des emails et vos filtres antispam ne se sont pas déclenchés.
• Votre antivirus n’a servi à rien, car aucun virus n’a été nécessaire pour cette attaque.
• Votre logiciel de filtrage web est incapable de détecter une URL temporaire piégée parfaitement conçue.

Donc non seulement votre réseau est compromis, mais vous ne vous en rendez sans doute même pas compte.

Les attaques de spear phishing comme celle décrite plus haut soulignent l’importance de ne pas compter sur uniquement les systèmes de protection traditionnels contre le spam, les virus et les malwares pour garantir la sécurité de votre réseau. Face aux phishing, l’approche de défense basée sur les signature est inutile face à des attaques qui évoluent si rapidement.

Une solution anti-phishing spécifique est donc nécessaire pour compléter vos défenses existantes. Vous avez besoin d’une solution qui reconnaisse les caractéristiques uniques des emails de phishing de masse et des attaques de spear phishing ciblées, qu’ils proviennent de messageries traditionnelles ou de plateformes tierces comme Twitter ou Facebook.

Heureusement, nous avons une solution. Vade allie l’Intelligence Artificielle à l’analyse heuristique pour identifier les emails de phishing même les plus insidieux. Notre solution a été conçue pour détecter les messages suspects en analysant des centaines de millions d’emails sur une période de dix ans. Notre intelligence artificielle est si efficace qu’elle peut protéger vos employés même si la menace est dissimulée dans une notification tierce d’apparence pourtant anodine.