Victimes de cybercriminels, certains employés malchanceux ont vu leur jour de paie virer au cauchemar. L’attaque par phishing des virements automatiques des salaires consistait jusqu’ici à recueillir les identifiants des employés afin d’accéder aux plateformes des RH et du service des salaires. À présent, les cybercriminels utilisent des techniques de spear phishing pour que les RH fassent le travail à leur place.

Comment cela fonctionne ?

Le FBI a émis un premier avertissement sur le phishing visant les virements automatiques en décembre 2018, lorsqu’une vague d’attaques ciblées est venue frapper le secteur éducatif, notamment la Wichita State University, où trois employés n’ont pas perçu leur salaire. En se faisant passer pour des membres du personnel des RH, les cybercriminels ont envoyé des emails aux employés, les invitant à se connecter au portail des RH pour consulter un email privé ou pour consulter/modifier leur compte.

Ces emails contenaient des liens renvoyant vers des sites de phishing où les employés ont divulgué leurs données d’identification. Une fois en possession de ces données, les cybercriminels ont remplacé les comptes bancaires vers lesquels les salaires devaient être versés. Ils ont aussi probablement eu accès aux formulaires W2 et aux données personnelles des employés, comme les numéros de sécurité sociale, qui pourraient être utilisés dans le cadre d’une usurpation d’identité ou d’autres attaques ciblées.

La variante la plus récente de cette attaque permet aux cybercriminels d’effectuer seulement la moitié du travail, et ce, pour le même résultat. 

Les emails de spear phishing ci-dessous ont été découverts par Vade Secure le 25 février 2019. Le cybercriminel entame la conversation de manière informelle, avant de fournir ses informations bancaires. Il s’agit d’une approche courante en matière de spear phishing qui consiste à appâter la victime et à instaurer un climat de confiance avant de porter l’estocade. Cette conversation se déroule entre la directrice des RH et un cybercriminel qui lui demande de modifier ses informations bancaires relatives au versement du salaire :

 

spear phishing

 

spear phishing

 

spear phishing

 

Heureusement pour cette directrice des RH, le cybercriminel s’est montré relativement impatient et sa réponse incisive, couplée à une syntaxe douteuse, n’a pas manqué d’alerter son interlocutrice. Elle a rapidement signalé l’incident. Dans de nombreux cas, cependant, les cybercriminels poursuivent leur proie jusqu’à ce qu’ils obtiennent ce qu’ils veulent.

Dans l’exemple suivant mis au jour par Vade Secure en janvier, un cybercriminel cible un assistant des RH actif dans le secteur de la construction. Une fois encore, il s’agit d’une attaque en plusieurs phases qui consiste d’abord à appâter la victime avant de la faire mordre à l’hameçon. Contrairement aux exemples précédents, où l’expéditeur se faisait passer pour des employés, l’expéditeur de l’email ci-dessous prend l’identité du directeur des opérations (COO). Il le fait dans deux buts précis. Premièrement, pour obtenir des gains plus élevés. Deuxièmement, pour exercer une pression sociale sur l’assistant des RH. Le fait de recevoir une demande émanant d’un cadre supérieur important de l’entreprise incite la victime à agir et, qui plus est, rapidement.

spear phishing exemple

 

Dans l’exemple ci-dessus, l’adresse email AOL constitue un signe révélateur de spear phishing. Quelles sont les chances que votre COO vous envoie un email à partir de son adresse personnelle ? Probablement minimes. Toutefois, si vous regardez attentivement, vous verrez que le cybercriminel a envoyé l’email depuis un iPad. Ceci pourrait amener la victime à croire que le COO a utilisé son adresse email personnelle par erreur. Ce petit détail fait partie des nombreuses techniques utilisées pour tromper les victimes.

 

En janvier dernier, la Brown University a repéré des emails de spear phishing similaires envoyés par des cybercriminels se faisant passer pour des employés et demandant au personnel des RH de modifier les informations relatives au versement de leur salaire.

spear phishing with alert

Pourquoi ça fonctionne

Comme d’autres fraudes par phishing, les attaques de spear phishing visant les RH ont tendance à se produire à des périodes particulières, les emails étant axés sur des sujets prioritaires pour les employés et le personnel des RH. Les attaques ayant eu lieu fin 2018 et début 2019, par exemple, ont coïncidé avec la période des impôts, soit au moment où les employés sont les plus susceptibles de demander l’accès aux formulaires W2 ou à d’autres formulaires fiscaux. Alors qu’une demande de formulaire W2 effectuée en juin pourrait attirer l’attention d’un spécialiste en RH, une demande faite en janvier sera considérée comme normale. Elle n’éveillera probablement aucun soupçon et c’est précisément là-dessus que les cybercriminels comptent.

 

Les attaques de spear phishing visant les RH peuvent également s’intensifier durant les périodes d’affiliation à une assurance maladie ou d’évaluation des performances, c’est-à-dire lorsque les employés reçoivent généralement des augmentations et attendent impatiemment le versement de leur salaire sur leur compte.

 

La périodicité de ces attaques n’est qu’un facteur parmi d’autres de leur franc succès. Contrairement aux emails qui dirigent les employés vers un site Web de phishing, les récents emails de spear phishing ne contiennent pas de liens, sur lesquels de nombreuses solutions de sécurité de l’email se basent pour détecter une tentative de phishing. Même si les adresses email des expéditeurs dans les exemples ci-dessus sont usurpées, ce sont des exemples de menaces inconnues et de faible volume (en l’occurrence, un seul email) qui ne seront pas nécessairement signalées par un filtre de messagerie. Il s’agit d’une tendance à la hausse observée dans le cadre des attaques en plusieurs phases. Un exemple courant est celui d’un cybercriminel qui accède à des identifiants de connexion Office 365 légitimes, puis prend le contrôle de multiples comptes au sein de l’entreprise en se faisant passer pour des employés et en récoltant toujours plus d’identifiants et de données. Cette technique est particulièrement difficile à détecter, car les passerelles de messagerie sécurisées en dehors d’Office 365 ne peuvent procéder à des analyses internes.

 

Comment protéger votre entreprise

 

La nature des attaques de spear phishing les rend extrêmement difficiles à identifier à l’aide d’une technologie traditionnelle de filtrage des emails. Dépourvus de pièce jointe malveillante ou de lien de phishing, ces emails continuent d’inonder les boîtes de réception et de causer d’importants dégâts aux entreprises et aux employés.

 

Alors que les solutions de messagerie classiques recherchent les menaces connues, par une approche prédictive de la sécurité de l’email, la technologie de détection non supervisée d’anomalies peut comparer l’expéditeur du message au modèle d’entité de l’entreprise afin d’identifier les usurpations d’alias, les domaines voisins et d’autres tentatives d’usurpation d’identité. Le traitement automatique du langage naturel est ensuite utilisé pour analyser le contenu de l’email, à la recherche de l’intention malveillante et du sentiment d’urgence fréquemment présents dans les emails de spear phishing.

 

En tant qu’ultime ligne de défense, vos employés devraient suivre une formation continue de sensibilisation au phishing afin d’être toujours au courant des dernières menaces et techniques. Cette formation structurée devrait être complétée par une formation « en temps réel ». Si un employé clique sur un lien de phishing ou répond à un email de spear phishing, il aura plus de chances de comprendre les implications de ces actions s’il reçoit immédiatement des conseils et des explications.