Tout administrateur de messagerie est conscient des dangers du phishing, mais ce n’est que lorsqu’une organisation est spécifiquement ciblée que les choses deviennent sérieuse.
Les attaques de phishing sont généralement détectées par des filtres de messagerie, mais celles de spear phishing sont beaucoup plus sophistiquées. Celles-ci utilisent les données de base des employés pour éviter les filtres web et permettent aux pirates informatiques de bénéficier d’un meilleur retour sur investissement.
Un attaquant peut passer des jours (voire des semaines) à recueillir des données sur vos clients et employés et utiliser ces informations pour leur envoyer directement des e-mails. Avec une bonne technique d’attaque, il peut collecter des giga-octets de données sensibles ou voler des documents importants qui valent beaucoup d’argent pour vos concurrents.
Outlook 365 est un trésor pour le phishing
Récemment, les cybercriminels se sont concentrés directement sur les utilisateurs d’Outlook sur Office 365. Cette solution fournit un service de messagerie d’entreprise en utilisant les serveurs Microsoft Exchange. Pourtant, les administrateurs ont l’habitude d’utiliser les informations d’identification sur plusieurs facettes d’Office 365, notamment One Drive, Skype, SharePoint et Office Store.
En interne, cela ne pose pas de problème, mais si un attaquant parvient à accéder aux informations d’identification d’un utilisateur par le biais d’une campagne de spear phishing, il pourra donc accéder à plusieurs autres ressources.
Lors d’une attaque de phishing en 2017, les utilisateurs d’Office 365 ont été ciblés principalement pour leurs identifiants de messagerie. Les attaquants savaient que seul un petit pourcentage d’utilisateurs tombera dans le piège d’un e-mail non sollicité envoyé par une personne qu’ils ne connaissent pas. Par contre, ils font souvent confiance aux expéditeurs de messages qui figurent sur leur liste de contacts.
La récente campagne s’est alors concentrée sur le vol d’identifiants et sur l’envoi de messages contenant un document HTML malveillant en pièce jointe. L’agresseur a envoyé la pièce jointe malveillante à des personnes figurant sur la liste de contacts de la victime. L’e-mail semblait donc provenir d’un utilisateur connu par des douzaines d’autres utilisateurs. De cette manière, l’attaquant avait une meilleure chance de voler les informations d’identification de l’utilisateur.
Ce type d’attaque sophistiquée n’est pas nouveau, mais en se concentrant sur les utilisateurs d’Office 365, le cybercriminel avait une meilleure chance d’accéder à des données sensibles.
Pour aller plus loin, l’attaquant a utilisé les identifiants Skype de sa victime pour se connecter à un profil et envoyer un fichier malveillant à ses contacts. En utilisant cette méthode de spear phishing, il a fait passer l’attaque de quelques dizaines à des centaines d’utilisateurs. Il lui a suffi de choisir quelques bonnes cibles pour lui permettre de télécharger une grande quantité de données et documents sensibles, des secrets d’entreprise, de données financières sur les employés et les clients, et de nombreux autres fichiers qui pourraient constituer un risque énorme pour l’intégrité de l’organisation.
Campagne de phishing contre les utilisateurs d’Outlook 365
Les leurres utilisés lors de l’attaque de phishing généralisée de 2017 comprenaient des notifications frauduleuses de faible espace disque et des demandes d’examen d’un document sur DocuSign. Dans ces deux attaques, l’utilisateur était invité à fournir ses identifiants Office 365.
Les e-mails contenaient des lignes d’objet comprenant des mots-clés du genre « FYI », « Facture approuvée » ou « Fw : Paiements. » et invitaient les utilisateurs à fournir leurs identifiants Office 365. L’attaquant les a utilisés pour envoyer plus d’e-mails de phishing aux contacts d’affaires qui figuraient dans la liste de contacts du compte de l’utilisateur.
Les attaques Zero-Day représentent le plus grand risque
De nombreuses applications de filtrage et de sécurité de messagerie peuvent bloquer les malwares connus et qui sont couramment utilisés dans les attaques de phishing. Mais il est beaucoup plus difficile de détecter les attaques zero-day.
Cette forme d’attaque utilise des campagnes et des malwares qui n’ont pas encore été détectés auparavant. En effet, les logiciels antivirus dépendent beaucoup des fichiers de signatures d’attaques connues. Le fait est que les attaques zero-day n’utilisent pas de signature connue.
Avec les e-mails, il est encore plus difficile d’éviter les faux positifs tout en protégeant le système interne contre les attaques de phishing. Les faux positifs créent des ennuis pour l’utilisateur et peuvent affecter sa productivité. Le filtrage des e-mails est dans ce cas le moyen le plus efficace d’empêcher que les courriels malveillants atteignent la boîte de réception de leurs destinataires.
Pour améliorer la protection des e-mails contre les menaces en ligne, l’administrateur Exchange a besoin d’une solution de messagerie sécurisée utilisant des algorithmes avancés et qui permettent de prédire les attaques zero-day. Cette solution doit associer vérification des pièces jointes, analyse du contenu, anti- typosquattage, protection des liens et chiffrement.
La combinaison de ces couches de protection fournit une solution complète anti-phishing et anti-malware. Comme Microsoft Exchange s’intègre à un environnement réseau Windows, la solution doit également fonctionner avec Active Directory et LDAP.
Les filtres de base ne suffisent plus pour contrer les menaces sur le web
Les attaques de phishing continuent d’augmenter et adoptent de nouvelles tactiques ; et les spams augmentent en conséquence.
Au deuxième trimestre de 2018, la quantité moyenne de spams dans le trafic de messagerie électronique dans le monde a atteint 51 % au mois de mai, alors que la moyenne était de 50 %.
Pour identifier les problèmes dans les e-mails, les anciens filtres de messagerie vérifiaient la présence de mots spécifiques dans le titre ; d’un expéditeur spécifique ou de phrases trouvées dans le contenu. De nos jours, cette méthode n’est plus suffisante. Les pirates informatiques disposent actuellement d’un arsenal de techniques qui leur permettent de contourner cette méthode.
D’une part, les entreprises qui utilisent Office 365 se doivent de fournir à leurs employés une formation de sensibilisation à la sécurité informatique. Elles doivent également mettre en œuvre des filtres de courrier électronique plus efficaces, capable d’analyser le contenu. Par ailleurs, les entreprises doivent mettre en œuvre des couches de filtrage fiables pour déterminer si un email ou un lien dans un email pourrait être malveillant.
Avec le filtre de messagerie SpamTitan, vous offrez une passerelle de messagerie dédiée qui protège entièrement votre serveur Exchange et chaque destinataire au sein de votre entreprise. SpamTitan fournit une protection contre le phishing. Il empêche le whaling et le spear phishing grâce à l’analyse de tous les e-mails entrants en temps réel.
SpamTitan recherche des indicateurs clés dans l’en-tête de l’email, dans son contenu et dans les informations de domaine. SpamTitan effectue également une analyse de réputation de tous les liens (y compris les URL raccourcis) qui peuvent se trouver dans les e-mails. Ainsi, il peut bloquer les courriels malveillants avant leur envoi à l’utilisateur final.
Voici comment SpamTitan vous protège contre les tentatives de phishing :
- Analyse de la réputation d’URL lors de l’analyse de plusieurs réputations.
- Détection et blocage des courriers électroniques malveillants de spear phishing avec d’autres malwares existants ou nouveaux.
- Utilisation de règles heuristiques permettant de détecter les attaques de phishing basées sur les en-têtes de message. Celles-ci sont mises à jour fréquemment pour faire face aux nouvelles menaces.
- Synchronisation facile avec Active Directory et LDAP.
- Les niveaux de confiance du spam peuvent être appliqués par utilisateur, par groupe d’utilisateurs et par domaine.
- Utilisation d’une liste blanche ou liste noire d’expéditeurs/adresses IP.
- Solution infiniment évolutive et universellement compatible.
La combinaison de ces fonctionnalités permet à SpamTitan d’offrir une excellente protection aux utilisateurs d’Office365. Il protège également les entreprises contre les attaques par spear phishing, le piratage par email professionnel (BEC) et la cyberfraude.
Enfin, les administrateurs système qui implémentent Office 365 doivent s’assurer qu’il est sécurisé. Pour se protéger contre les menaces persistantes avancées, ils ont intérêt à ajouter une solution hautement sécurisée de filtrage du spam comme SpamTitan.
Pour vous protéger contre les menaces avancées, vous avez besoin d’une protection avancée.
Découvrez SpamTitan dès aujourd’hui et inscrivez-vous pour obtenir un essai gratuit.