Les attaques par e-mail se complexifient

Loin des classiques e-mails mal formulés et autres promesses de millions en attente dans la banque d’un pays exotique, le « longlining » est une technique sophistiquée contre laquelle peu d’entreprises sont protégées selon Ismet Géri.
Le directeur Europe du Sud, Bénélux et Scandinavie chez Proofpoint détaille cette menace sur le Cercle les échos.

Nul besoin d’être une grande multinationale pour être confronté aux nouvelles cybermenaces, les cybercriminels ont commencé à déployer ces techniques avancées à grande échelle pour compromettre des entreprises de toute taille à travers un large éventail d’industries.

Depuis plus de dix ans maintenant, ces agresseurs utilisent la technique du phishing pour inciter des citoyens peu méfiants à leur révéler des renseignements personnels tels que des identifiants et des mots de passe. Ces dernières années, cette pratique a encore considérablement évolué, les cybercriminels étant passés maîtres dans l’art du « spear phishing », autre technique permettant de cibler des entreprises et des institutions spécifiques et d’obtenir frauduleusement leurs informations financières, secrets industriels ou renseignements militaires. Ces campagnes utilisent des e-mails personnalisés pour duper les employés ciblés et les inciter à cliquer sur des liens qui chargent de façon invisible des logiciels malveillants sophistiqués permettant aux pirates de prendre entièrement le contrôle de l’ordinateur infecté.

Jusqu’à récemment, ces attaques restaient largement artisanales et manuelles, touchant un nombre relativement restreint de cibles à haute valeur. L’année dernière, on a toutefois constaté que les cybercriminels utilisaient désormais ces techniques sophistiquées pour lancer d’importantes attaques contre des centaines d’entreprises en quelques heures seulement, et ce en ciblant en priorité les VIP des entreprises (DG, CFO…)

Ce nouveau genre de phishing sophistiqué à grande échelle est appelé « longlining ». (…) Le longlining associe tactiques de spear phishing éprouvées et personnalisation de masse. Grâce à ces techniques, les agresseurs peuvent cibler des centaines d’entreprises en même temps, avec des dizaines de milliers de messages uniques chargés d’un logiciel malveillant et largement indétectables par les systèmes de sécurité traditionnels.

Pendant une attaque de longlining, les cybercriminels envoient des « hameçons », ou e-mails, hautement variables. Tout le monde ne reçoit pas les mêmes messages, loin de là. Au contraire, ces e-mails sont personnalisés et semblent provenir de différentes adresses IP, incluent divers sujets et corps de texte ainsi que des dizaines d’URL uniques – ce qui ne facilite pas leur repérage.

Comme avec le spear phishing, le programme malveillant, ou malware, est chargé lorsque l’utilisateur clique sur une URL intégrée au message. Pour ne pas susciter sa méfiance et passer outre les systèmes de détection web, ces liens ne dirigent pas directement l’utilisateur vers des sites malveillants, mais vers des sites web légitimes et dignes de confiance qui ont été compromis par les pirates pour héberger le malware. Une seule attaque peut utiliser des dizaines, voire des centaines de sites compromis en tant qu’hébergeurs de logiciels malveillants.

Ces e-mails personnalisés et envoyés en masse paraissent suffisamment légitimes pour duper plus de 10 % des destinataires, qui cliquent sur les liens malveillants. Pour compliquer encore les choses, 19 % des clics sur ces URL malveillantes ont lieu « hors réseau », quand les employés consultent leurs e-mails chez eux, pendant leurs déplacements ou via des périphériques mobiles.

Selon une étude menée par Proofpoint, le 3 octobre 2012, une attaque partie de Russie a vu l’envoi d’environ 135 000 e-mails vers plus de 80 entreprises en l’espace de trois heures. Pour ne pas être repéré, l’agresseur a utilisé 28 000 adresses IP différentes (…).

Une fois que les agresseurs ont pris le contrôle d’un ordinateur, ils s’en servent comme d’une base pour perpétrer un large éventail d’activités criminelles. Par exemple, des enregistreurs de frappe peuvent capturer des identifiants bancaires et ainsi subtiliser des fonds sur les comptes des entreprises. De même, des scanneurs et chargeurs de fichiers peuvent dérober de précieuses informations de propriété intellectuelle ou des données clients sensibles (…).

(…)

L’e-mail est donc largement considéré comme le vecteur de menace n°1 dans le déclenchement de ces attaques avancées. Cependant, de nombreuses entreprises n’envisagent pas l’amélioration de leur sécurité dans ce domaine comme une priorité. Pour contrecarrer des attaques aussi sophistiquées, les entreprises doivent repenser et mettre à niveau leurs systèmes de défense. (…).

(…) il existe désormais des solutions complètes spécialement conçues pour identifier et contrecarrer les tentatives de spear phishing, de longlining et autres menaces avancées.

Ces solutions intègrent plusieurs technologies de pointe, notamment l’analyse des grands ensembles de données et le sandboxing anti-malware dynamique pour repérer les messages suspects et assurer une protection sans précédent qui suit les messages et les utilisateurs où qu’ils se trouvent (…).

Source : http://lecercle.lesechos.fr/entreprises-marches/high-tech-medias/informatiques/221175011/face-a-montee-phishing-industriel-entre


One Comment

  1. Kalousdian
    Kalousdian 24|06|2013 at 6:16 - Reply

    Notez bien que l’auteur de cet article particulièrement alarmiste vend des solutions de sécurisation d’emails :

    « Ismet Geri, Directeur Proofpoint Europe du Sud, Bénélux et Scandinavie, PROOFPOINT, éditeur SaaS de solutions de sécurisation des infrastructures e-mail »

Leave A Comment