e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message



Accédez au menu
Contactez-nous

La prise de contrôle de vos emails

Retour aux articles

La prise de contrôle de vos emails

Spear Phishing & Account Take Over


Catégorie : Articles

Date de publication : 9 septembre 2019 - Dernière mise à jour : 9 septembre 2019

Rédacteur : Massimo Citro


Dans quelle mesure vos employés identifient-ils les emails d’hameçonnage (phishing) ? C'est une question à laquelle McAfee a souhaité répondre en 2015 à l’aide d’un quiz en ligne présentant des emails de « phishing ». Les résultats ont annoncé que 97% des personnes dans le monde n’étaient pas en mesure d’identifier correctement les e-mails d’hameçonnage. Ce chiffre très inquiétant implique donc le fait que les attaquants devraient encore continuer à cibler ce mode d’attaque. Où en est-on aujourd’hui ?

L’hameçonnage représente encore 93% des vecteurs d’attaques.
Le courrier électronique continue d'être le vecteur le plus commun (96%).

Plus de 80% des brèches de sécurité liées aux attaques sociales sont du phishing.
Les utilisateurs sont significativement plus susceptibles aux attaques sociales.

L’hameçonnage promet de demeurer un problème dans un avenir prévisible car il implique des décisions humaines et un jugement face aux efforts persistants des cybercriminels pour attirer les victimes dans leurs pièges.
La part des e-mails entrants (dans Office 365) qui étaient des messages d’hameçonnage a augmenté de 250% entre janvier et décembre 2018.

Le phishing j’en ai déjà vu, mais le Spear-Phising et l’Account-Take-Over ?

Malheureusement, les emails d’hameçonnage ne délivrent pas que des pièces-jointes et/ou des liens malicieux qu’il ne faut ni exécuter, ni cliquer dessus. En effet, une nouvelle forme de compromission plus discrète se déploie au travers de vos échanges par emails : la prise de contrôle de compte à distance (Account Take Over).

C’est une forme de fraude basée sur le vol d’identité, par laquelle un tiers malveillant parvient à accéder aux informations d’accès au compte email de l’utilisateur. En se faisant passer pour un véritable utilisateur, les cybercriminels peuvent modifier les détails des comptes, envoyer des courriels d’hameçonnage, voler des informations financières ou des données sensibles, ou même utiliser les informations volées pour accéder à d'autres comptes de l'entreprise.

Les départements les plus exposés sont l'informatique, les ressources humaines et la direction, car ils ont un accès direct aux données sensibles, aux informations financières et à l’infrastructure de sécurité.

Pourquoi le Spear Phishing et l’Account Take Over se développent-ils ?

Dès lors que l’accès à la messagerie électronique de l’entreprise est accessible depuis l’extérieur, la menace d’Account Take Over est réelle.

Microsoft traitant mensuellement plus de 470 milliards d'e-mails par mois dans Office 365, c’est donc un service exposé qui suscite une réelle cible de choix pour les hackers.

Quelles sont les techniques employées pour prendre le contrôle de votre boite aux lettres électronique ?

Les cybercriminels ont recours à un certain nombre de techniques majeures lorsqu'ils tentent d'accéder à un compte sécurisé.

Nous pouvons retenir la plus discrète : le Spear Phishing (Pêche au harpon).

Les cybercriminels utiliseront des échanges d’emails pour inciter les utilisateurs à révéler leurs informations personnelles. La victime aura alors l’illusion de communiquer par courriel avec une personne connue.

Ces emails ne contiennent rien de malicieux, ils sont très ciblés et beaucoup plus trompeurs. Dans la grande majorité des cas, ils ne sont pas stoppés par les lignes de défenses traditionnelles car sont fondé sur des méthodes d’ingénierie sociale.

Quels sont les risques de la prise de contrôle de votre compte email ?

La prise de compte n’est pas intrinsèquement utile pour un cybercriminel. Les problèmes arrivent une fois que le compte est compromis :

Campagnes d'hameçonnage : certains attaquants essaient d'utiliser le compte de messagerie piraté pour lancer des campagnes d'hameçonnage qui ne seront pas détectées (Exemple : vos clients peuvent alors recevoir des campagnes de Phishing ou Spear Phishing depuis votre messagerie légitime).

Prise de compte supplémentaire, et/ou revente de comptes : d'autres utilisent ce compte pour effectuer des opérations de reconnaissance afin de lancer des attaques personnalisées. Certains attaquants volent les accès d'autres employés et les revendent (Exemple : ceci servira à préparer de futures attaques plus complexes).

Compromission de la messagerie professionnelle : des attaquants sophistiqués voleront les informations d'identification d'un employé clé et les utiliseront pour lancer une attaque à partir de l'adresse de messagerie de ce dernier, dans le but de mettre en place une transaction frauduleuse ou un transfert de fonds (Exemple : « arnaque au président », mais émanant directement d’un membre légitime de son organisation).

Quels sont les problèmes de la réponse aux incidents par email à ce jour ?

Les utilisateurs ne détectent pas toujours ce type de menaces.
Les utilisateurs ne rapportent pas toujours les tentatives d’attaques.
Les investigations prennent souvent beaucoup de temps.
La recherche d’emails malicieux dans l’ensemble des boites aux lettres de l’organisation reste trop souvent manuelle.
Le temps de réaction après incident est souvent trop long.

Les questions à se poser pour lutter efficacement contre le Spear-Phishing et l’Account-Take-Over :

Comment identifiez-vous la compromission d’un accès à la messagerie de vos utilisateurs ?
Combien de temps mettez-vous pour remédier à un incident d’attaque par hameçonnage ?
De quelles ressources disposez-vous pour mener une analyse approfondie de l’incident ?
Quel est votre processus pour détecter et nettoyer les emails malicieux qui ont été délivré aux utilisateurs ?
Quelles communications appliquez-vous lorsqu’un compte compromis a émis des emails à destination d’organisations extérieurs (client, partenaires, fournisseurs …)
Quels sont les outils techniques et humains qui permettent de détecter le Spear Phishing ?
Connaissez-vous des utilisateurs internes qui auraient besoins d’une formation de sensibilisation à la sécurité, plus particulièrement sur les problématiques liés à l’usage de la messagerie ?

Comment lutter contre ce type d’attaques ?

Indéniablement la mise en œuvre de passerelle de filtrage d’emails locale ou Cloud (même pour Office 365) se doit d’être la première pierre à poser. Ensuite, des solutions existent pour faire des analyses plus approfondies des emails, basée sur le contexte et les empreintes de communication des entreprises, tout en offrant des solutions avancées de remédiation après incident.

Nos ingénieurs se tiennent volontiers à votre disposition afin de vous accompagner dans la sécurisation de vos messageries locales et/ou cloud (Office 365, G Suite, …)

Abonnez-vous
à nos newsletters