Lorsque les cybercriminels lancent des attaques de phishing et de social engineering, leur principale méthode consiste à donner l’impression que l’attaque provient d’une source officielle. Les utilisateurs mal informés cliqueront sur n’importe quel lien dans un e-mail, même si le message semble suspect.
Les attaques récentes ont profité de la confiance des utilisateurs sur des sites populaires tels que Dropbox, Google Docs, Citrix, ShareFile, et Google Drive, pour n’en nommer que quelques-uns. Elles ont fait appel à l’authentification OAuth et utilisent souvent des messages qui vérifient l’accès à la ressource d’un utilisateur.
Comment fonctionne une attaque de phishing sur un site de partage de fichier ?
Il n’est pas rare que les utilisateurs ajoutent des plugins à leur navigateur pour demander l’accès à leur compte personnel. Par exemple, si vous accéder à un service à l’aide de votre compte Facebook, la plate-forme vous demande votre approbation et vous indique les ressources auxquelles le propriétaire du plugin souhaite accéder. Le plugin peut demander l’accès à l’email et au nom d’utilisateur, ou il peut demander à poster sur votre mur. Une fois que vous donnez accès à une ressource pour qu’elle puisse publier sur votre mur, vous donnez à un développeur anonyme la possibilité de publier n’importe quoi sur votre espace personnel.
La plupart des développeurs utilisent cette capacité d’accès aux ressources pour des raisons qui profitent à l’utilisateur. L’accès est accordé en utilisant un service nommé OAuth, et les utilisateurs peuvent révoquer l’accès à leur compte à tout moment. Cependant, la plupart des utilisateurs donnent indistinctement accès aux ressources. Grâce à cette autorisation, les pirates peuvent accéder à n’importe quel composant du compte personnel de l’utilisateur, répandre des malwares, voler des identifiants et mener d’autres attaques de phishing.
Les sites de partage de fichiers sont les vecteurs d’attaque de prédilection des cybercriminels parce que ces sites offrent aux utilisateurs la possibilité d’autoriser l’accès pour voir, ajouter et modifier des fichiers déjà stockés dans le cloud. Les pirates demandent d’abord aux utilisateurs de les autoriser à accéder à des ressources, et bien souvent, les utilisateurs n’hésitent pas à partager tout ce qui leur est demandé.
Une fois que l’utilisateur a autorisé la ressource à ajouter et à visualiser des fichiers, il peut maintenant visualiser tous les fichiers de la ressource de partage de fichiers et en ajouter de nouveaux. Ces nouveaux fichiers contiennent généralement des scripts malveillants qui peuvent diffuser des malwares dans l’ordinateur de l’utilisateur, voler des identifiants ou donner à l’attaquant la possibilité de contrôler à distance son périphérique. Dans ce cas, la suppression du fichier malveillant n’arrêtera pas l’attaque, car le pirate dispose désormais de la permission d’ajouter à nouveau le fichier.
La seule façon pour un utilisateur d’arrêter l’attaque est de révoquer l’accès, mais à ce moment-là, il est généralement trop tard. L’attaquant peut collecter des informations sur les fichiers et ajouter des fichiers que l’utilisateur pourra télécharger à l’avenir. De plus, les utilisateurs ne savent pas qu’ils peuvent révoquer l’accès à une ressource dans les paramètres de leur compte.
Comment les entreprises peuvent-elles protéger les utilisateurs contre ces attaques de social engineering ?
Bien que cette attaque puisse impliquer une gêne mineure telle que la divulgation de données des utilisateurs individuels, elle peut constituer un problème critique pour les entreprises qui utilisent le stockage dans le cloud pour partager des données et fichiers confidentiels. Avec cette attaque, tout ce qui est stocké dans l’espace cloud de l’utilisateur devient vulnérable. S’il est incapable de reconnaître les fichiers malveillants, le fichier malveillant peut y rester sans que l’administrateur en soit averti.
Les filtres de messagerie utilisant des antimalwares récents constituent le principal moyen pour les administrateurs de bloquer ces menaces et de s’attaquer à la racine aux attaques de phishing. Le blocage des e-mails de phishing empêche les utilisateurs de cliquer sur des liens malveillants, de sorte qu’un administrateur n’a pas besoin de limiter la fonctionnalité de partage de fichiers. Au lieu de cela, l’administrateur peut arrêter l’attaque avant qu’elle n’atteigne la boîte de réception de l’utilisateur.
La DMARC (Domain-based Message Authentication, Reporting, and Conformance) ou l’authentification, le reporting et la conformité des messages basés sur le domaine est le dernier système de défense contre le phishing basé sur les paramètres administrateur. Il utilise ensemble de règles qui exploitent le DNS pour empêcher le chiffrement par clé publique et privée. Il intègre le Sender Policy Framework (SPF) qui exige une entrée DNS de l’organisation afin que les serveurs de messagerie du destinataire puissent identifier si l’IP de l’expéditeur est autorisée à envoyer un e-mail au nom du propriétaire du domaine.
La norme d’authentification DomainKeys Identified Mail (DKIM) est également intégrée dans les règles de la DMARC. La DKIM ajoute une signature de chiffrement à clé publique qui ne peut être déchiffrée que par le serveur de messagerie de l’organisation qui contient la clé privée. En ajoutant une signature au message électronique, l’organisation sait que seuls les messages chiffrés avec sa clé publique peuvent arriver dans les boîtes de réception de vos employés. Le SPF bloque les messages isurpés et qui semblent provenir d’un expéditeur de confiance.
Les attaques OAuth sont courantes, et il suffit d’une seule erreur d’un utilisateur pour donner à un attaquant l’accès à un système de stockage dans le cloud de son entreprise. Avec DMARC et les bons filtres de messagerie, une organisation peut empêcher un attaquant d’atteindre la boîte de réception d’un utilisateur ciblé.
Pour en savoir plus sur le fonctionnement de la DMARC et de la DKIM dans SpamTitan, contactez-nous dès aujourd’hui.