Types de messages d'hameçonnage qui peuvent tromper votre messagerie

Il n'y a pratiquement aucune forme de cybercriminalité à la hauteur de l'hameçonnage en termes de prévalence et d'impact mondial. Il est au centre des campagnes malveillantes visant à obtenir les données d'authentification des utilisateurs, à soutirer de l'argent aux organisations ou à propager des virus informatiques par le biais d'e-mails perfides.

Les récentes découvertes des analystes de la sécurité montrent la situation dans son ensemble. Plus de 165 772 nouveaux sites de phishing ont été repérés au cours du premier trimestre 2020. Le FBI affirme que la compromission de la messagerie professionnelle (BEC) est un type de phishing croissant qui se concentre sur l'entreprise. Cela fait perdre aux entreprises environ 5 milliards de dollars en virements électroniques frauduleux chaque année.

Les cybercriminels montent en puissance

Ces statistiques ahurissantes démontrent l'ampleur et la profondeur du fléau. Sans surprise, de nombreuses entreprises de sécurité et fournisseurs de messagerie proposent des solutions qui empêchent les messages frauduleux de se retrouver dans les boîtes de réception des utilisateurs. Les défenses de plus en plus efficaces incitent les opérateurs de campagnes de phishing à imaginer de nouvelles méthodes pour contourner les filtres traditionnels.

Le contournement des filtres de messagerie est devenu tout aussi important pour les escrocs que la personnalisation de messages frauduleux dont le récit tire les bonnes ficelles dans la conscience des destinataires. Les techniques suivantes ont récemment amélioré le répertoire des opérateurs de phishing afin que leurs e-mails ne déclenchent pas de signaux d'alerte et n'arrivent pas à destination malgré les contre-mesures courantes.

Recommandé pour vous : Quel est le rôle de l'intelligence artificielle (IA) dans la cybersécurité ?

Identifiants Office 365 collectés via Google Cloud Services

Les cyber-escrocs hébergent de plus en plus de fichiers leurres et de pages de phishing sur des services cloud populaires. Cette tactique ajoute une couche supplémentaire de fiabilité et d'obscurcissement à une escroquerie, ce qui rend extrêmement difficile pour les utilisateurs soucieux de la sécurité et les systèmes de protection de la détecter.

Une campagne récemment mise au jour par des chercheurs de la société de cybersécurité Check Point démontre à quel point ce type de fraude peut être évasif. Son élément leurre est un document PDF téléchargé sur Google Drive. Ce fichier partagé est censé contenir des informations commerciales importantes. Pour le voir, cependant, la victime est censée cliquer sur le bouton "Accéder au document", ce qui conduit à une page de connexion demandant des détails d'authentification Office 365 ou un identifiant d'organisation. Quelle que soit l'option sélectionnée, un écran contextuel apparaît demandant les informations de connexion Outlook de l'utilisateur.

Dès que l'adresse e-mail et le mot de passe sont renseignés, la victime peut enfin visualiser le fichier PDF. Il s'agit d'un rapport marketing légitime publié par une société de conseil bien connue en 2020. De plus, les pages qui apparaissent à différentes phases de cette attaque sont hébergées sur Google Cloud Storage, il n'y a donc pratiquement aucun indice suggérant que quelque chose de clairement méchant se passe. .

Pendant ce temps, un sérieux écueil éclipsé par la légitimité apparente de ce stratagème est que les escrocs obtiennent les informations d'identification Office 365 valides de la victime en cours de route. Lorsqu'elles sont entre de mauvaises mains, ces informations peuvent devenir une rampe de lancement pour des escroqueries BEC efficaces, l'espionnage industriel et la propagation de logiciels malveillants.

Courriels trompeurs prétendant provenir de banques de confiance

Récemment, des escrocs ont généré de faux messages qui se font passer pour des institutions financières populaires telles que Citigroup ou Bank of America. L'e-mail demande à l'utilisateur d'actualiser les détails de son adresse e-mail en cliquant sur un lien hypertexte menant à une réplique du site Web de la banque. Pour rendre le canular plus vrai que nature, les criminels utilisent une page supplémentaire demandant la question de défi de sécurité du destinataire.

L'une des incohérences négatives est que l'e-mail passe sous le radar de la plupart des filtres, bien qu'il soit envoyé à partir d'une adresse @yahoo.com. La raison en est que les malfaiteurs ne ciblent que quelques employés dans une entreprise. Étant donné que les solutions anti-hameçonnage courantes sont adaptées à un grand nombre de messages similaires ou identiques, elles peuvent ignorer plusieurs e-mails suspects.

Un autre problème est que le message provient d'un compte de messagerie personnel. Ce fait entrave la détection car les outils de vérification conventionnels tels que Domain-based Message Authentication, Reporting & Conformance (DMARC) ainsi que Sender Policy Framework (SPF) identifient uniquement les e-mails qui usurpent le domaine source.

Pour couronner le tout, la page de phishing des informations d'identification qui imite le site Web officiel de la banque passe tous les contrôles avec brio. C'est parce qu'il a été enregistré récemment et n'a donc pas encore été mis sur liste noire. Il utilise également un certificat SSL valide. Le lien de phishing redirige les utilisateurs à l'aide d'un service de recherche Yahoo légitime. Toutes ces bizarreries, combinées à une certaine pression imposée dans le texte, augmentent le taux de réussite de cette campagne.

Décompressez une pièce jointe et soyez infecté

Certains acteurs de la menace cachent une pièce jointe nuisible dans une archive malveillante pour contrecarrer la détection. Normalement, un fichier ZIP est livré avec un paramètre "End of Central Directory" (EOCD). Il pointe vers l'élément final de la structure de l'archive. Ce que font les cyber-escrocs, c'est d'utiliser un objet ZIP avec une valeur EOCD supplémentaire à l'intérieur. Cela signifie que le fichier comprend une arborescence d'archives obscurcie.

Lorsqu'elle est traitée par des outils de décompression qui constituent des passerelles de messagerie sécurisées (SEG), la pièce jointe ZIP semble bénigne car son composant « hareng rouge » est généralement le seul à être examiné. À la suite de cette supercherie, le fichier extrait exécute furtivement un cheval de Troie bancaire sur la machine du destinataire.

Perdu dans la traduction

Un autre stratagème courant consiste à tromper les filtres de messagerie en incorporant du texte dans une langue étrangère. Certaines défenses sont configurées pour analyser les messages entrants à la recherche de documents douteux uniquement en anglais ou dans la langue maternelle de l'utilisateur.

Dans cet esprit, les escrocs peuvent créer des e-mails de phishing en russe et inclure un conseil disant : "Utilisez le traducteur Google". En conséquence, le message arrive dans la boîte de réception et la victime peut décrocher après avoir lu le texte traduit.

Vous aimerez peut-être : 17 conseils sympas pour rédiger une politique de cybersécurité qui ne craint pas.

Modifier le code HTML d'un email

Une autre façon pour qu'un message de phishing passe par les systèmes de protection consiste à inverser les chaînes de texte dans son code HTML, puis à afficher les informations vers l'avant afin qu'elles paraissent parfaitement normales pour le destinataire. Étant donné que le contenu du code source déformé ne chevauche aucun modèle de phishing connu, les SEG ignoreront très probablement le message.

Une imitation très insidieuse de cette technique tourne autour des feuilles de style en cascade (CSS), un instrument utilisé pour compléter les documents Web avec des composants de style tels que la taille et la couleur de la police, la couleur d'arrière-plan et l'espacement. Le jeu déloyal se résume à une mauvaise gestion du CSS pour fusionner les scripts latins et arabes dans le code HTML brut. Ces scripts circulent dans des directions opposées, ce qui permet aux escrocs d'obtenir plus facilement l'effet d'inversion de texte mentionné ci-dessus. En conséquence, le message dupe les défenses tout en restant lisible par l'homme.

Abus de comptes SharePoint piratés

Certains gangs de phishing exploitent des comptes SharePoint compromis pour déclencher leurs escroqueries. La logique diabolique repose sur le fait que les SEG font confiance aux domaines associés à la plate-forme collaborative réputée de Microsoft. Le lien dans le corps de l'e-mail mène à un site SharePoint. Ainsi, les systèmes de sécurité le traitent comme bénin et ignorent le message.

Le hic, c'est que les criminels réutilisent la page de destination pour afficher un document OneNote douteux. Ceci, à son tour, redirige vers une page de phishing d'informations d'identification camouflée sous forme de formulaire de connexion OneDrive Entreprise. Les détails d'authentification que l'utilisateur sans méfiance y entre sont instantanément envoyés au serveur des escrocs.

Boostez votre sensibilisation au phishing pour rester en sécurité

Les filtres de messagerie valent sans aucun doute leur sel. Ils éliminent la majeure partie des messages sommaires envoyés vers votre boîte de réception. Cependant, la leçon que vous devriez tirer des attaques réelles décrites ci-dessus est que s'appuyer sur ces systèmes sans condition est une entreprise risquée.

"Vous devriez faire vos devoirs et suivre quelques conseils supplémentaires pour améliorer votre hygiène personnelle anti-hameçonnage." – dans une récente interview mentionnée par Andrew Gitt, spécialiste senior en technologie, co-fondateur et responsable de la recherche chez VPNBrains.

Andrew fournit également les recommandations suivantes dans son entretien :

• Abstenez-vous de cliquer sur les liens qui arrivent dans les e-mails.
• N'ouvrez pas les pièces jointes reçues d'inconnus.
• Avant de saisir votre nom d'utilisateur et votre mot de passe sur une page de connexion, assurez-vous qu'il s'agit bien de HTTPS plutôt que de HTTP.
• Si un e-mail semble légitime et que vous décidez de prendre le risque de cliquer sur un lien intégré, vérifiez d'abord l'URL pour les fautes de frappe et autres cadeaux.
• Lisez attentivement les e-mails entrants et vérifiez leur texte pour les erreurs d'orthographe, de grammaire et de ponctuation. Si vous remarquez de telles erreurs, le message est probablement une arnaque.
• Ignorez et supprimez les e-mails qui vous poussent à faire quelque chose. Par exemple, les hameçonneurs imposent souvent une sorte de délai pour faire déraper les gens. Ne tombez pas dans de tels trucs.
• Méfiez-vous des e-mails dont le contenu s'écarte de la norme en ce qui concerne vos tâches professionnelles quotidiennes.
• Si vous recevez un message d'un cadre supérieur demandant un virement bancaire, vérifiez-le en contactant la personne par téléphone ou en personne. Il y a de fortes chances que vous ayez affaire à un imposteur qui s'est emparé du compte de messagerie du collègue.
• Faites attention aux informations que vous partagez sur les réseaux sociaux. Les acteurs malveillants sont aptes à mener des renseignements open source (OSINT), ils peuvent donc retourner vos données personnelles accessibles au public contre vous.
• Si vous êtes un cadre, assurez-vous de mettre en place un programme de formation de sensibilisation au phishing pour vos employés.
• Activez un pare-feu et installez un logiciel de sécurité en ligne efficace avec une fonction anti-hameçonnage intégrée.

Vous pourriez également aimer : Comment protéger votre PC contre les cyberattaques, le pistage et les logiciels malveillants ?

Derniers mots

Chaque fois que les chapeaux blancs proposent un nouveau mécanisme de prévention, les cybercriminels font de leur mieux pour les déjouer. Une tendance émergente et très prometteuse en matière de sécurité à cet égard consiste à utiliser l'intelligence artificielle et l'apprentissage automatique pour identifier les tentatives de phishing. Espérons que cette approche gardera les défenses une longueur d'avance sur les vecteurs d'attaque, aussi sophistiqués soient-ils.

Pour l'instant, la meilleure chose à faire est de rester vigilant et de tirer le meilleur parti des outils anti-hameçonnage traditionnels qui font des merveilles dans la plupart des cas.