Les escrocs par e-mail évoluent : voici comment vous protéger
Table des matières:
Les cybercriminels s'attaquent sans cesse aux entreprises, mais peu d'attaques sont aussi sournoises et audacieuses que la compromission de messagerie professionnelle (BEC). Cette attaque d'ingénierie sociale utilise la messagerie électronique comme moyen d'accès à une organisation, permettant aux attaquants de soutirer des fonds à leurs victimes.
Les attaques BEC utilisent fréquemment des adresses e-mail semblant provenir de l'entreprise de la victime ou d'un partenaire de confiance, comme un fournisseur. Ces domaines sont souvent mal orthographiés ou utilisent des jeux de caractères différents, ce qui donne l'impression d'être une source fiable, mais en réalité malveillants.
Des employés perspicaces peuvent repérer ces adresses malveillantes, et les systèmes de messagerie peuvent les gérer grâce à des outils de protection comme le protocole d'authentification des messages, de reporting et de conformité basé sur le domaine (DMARC). Mais que se passe-t-il si un attaquant parvient à utiliser un domaine auquel tout le monde fait confiance ?
Quand les sources fiables ne sont pas fiables
Entreprise de cybersécurité Guardz récemment découvert Les attaquants font exactement cela. Le 13 mars, l'entreprise a publié une analyse d'une attaque utilisant les ressources cloud de Microsoft pour rendre une attaque BEC plus convaincante.
Les attaquants ont utilisé les domaines de l'entreprise, exploitant les erreurs de configuration des locataires pour prendre le contrôle des utilisateurs légitimes. Ils ont pris le contrôle de plusieurs locataires organisationnels M365, soit en en prenant le contrôle, soit en enregistrant les leurs. Ils ont créé des comptes administrateurs sur ces locataires et défini leurs règles de transfert de courrier.
Ils exploitent ensuite une fonctionnalité Microsoft affichant le nom d'une organisation pour insérer une confirmation de transaction frauduleuse, ainsi qu'un numéro de téléphone à appeler pour demander un remboursement. Ce SMS d'hameçonnage parvient à pénétrer le système car les outils de sécurité de messagerie traditionnels n'analysent pas le nom de l'organisation à la recherche de menaces. L'e-mail parvient dans la boîte de réception de la victime grâce à la bonne réputation du domaine Microsoft.
Lorsque la victime appelle le numéro, l'attaquant se fait passer pour un agent du service client et la persuade d'installer un logiciel malveillant ou de transmettre des informations personnelles telles que ses identifiants de connexion.
Une vague croissante d'attaques BEC
Cette attaque met en lumière le spectre persistant des attaques BEC, qui se sont intensifiées au fil du temps. Les données les plus récentes (2024) du FBI rapporté 55.5 milliards de dollars de pertes mondiales liées aux BEC entre 2013 et 2023 – en hausse par rapport à près de 51 milliards de dollars rapporté l'année précédente.
Ce n'est pas non plus la première fois que des attaques BEC et de phishing ciblent les utilisateurs de Microsoft 365. En 2023, les chercheurs noté l'essor rapide de W3LL, un kit de phishing qui a spécifiquement compromis les comptes Microsoft 365 en contournant l'authentification multifacteur.
Qu'est-ce que vous pouvez faire
La meilleure approche pour atténuer les attaques BEC est, comme pour la plupart des autres protections de cybersécurité, multicouche. Les criminels peuvent percer une couche de protection, mais sont moins susceptibles de surmonter plusieurs obstacles. Cadres de sécurité et de contrôle, tels que la norme ISO 27001 et du Cadre de cybersécurité du NIST, sont de bonnes sources de mesures pour éviter les escrocs. Elles permettent d'identifier les vulnérabilités, d'améliorer les protocoles de sécurité des e-mails et de réduire l'exposition aux attaques basées sur les identifiants.
Les contrôles technologiques constituent souvent une arme efficace contre les escrocs BEC. L'utilisation de contrôles de sécurité des e-mails tels que DMARC est plus sûre que non, mais comme le souligne Guardz, ils ne seront pas efficaces contre les attaques utilisant des domaines de confiance.
Il en va de même pour le filtrage de contenu à l'aide de l'un des nombreux outils de sécurité de messagerie disponibles. Même si cela n'aurait pas permis de détecter la technique sournoise d'intégration de menaces utilisée lors de l'attaque signalée en mars, cette mesure reste généralement utile. Une analyse de contenu avancée, prenant en compte les champs organisationnels et les métadonnées, est optimale.
De même, les politiques d'accès conditionnel constituent un moyen efficace de contrer certaines attaques BEC, notamment l'utilisation de l'authentification multifacteur (AMF). Cependant, cette protection, qui utilise un second mécanisme d'authentification hors bande pour confirmer l'identité de l'utilisateur, n'est pas infaillible. Les attaques par proxy inverse, où l'attaquant utilise un serveur intermédiaire pour récupérer les identifiants AMF de la victime, sont bien connues. Une attaque de ce type a eu lieu en 2022, ciblant 10,000 365 organisations utilisant MXNUMX. Alors, utilisez l'AMF, mais ne vous y fiez pas uniquement.
Impliquez les employés
De nombreuses attaques sont déjouées non pas par des contrôles techniques, mais par un employé vigilant qui exige la vérification d'une demande inhabituelle. Répartir les protections entre les différents aspects de votre organisation est un bon moyen de minimiser les risques grâce à diverses mesures de protection. Les contrôles humains et organisationnels sont donc essentiels pour lutter contre les escrocs. Organisez des formations régulières pour reconnaître les tentatives de BEC et vérifier les demandes inhabituelles.
D’un point de vue organisationnel, les entreprises peuvent mettre en œuvre des politiques qui imposent des processus plus sécurisés lors de l’exécution des types d’instructions à haut risque – comme les transferts d’argent importants – que les escrocs BEC ciblent souvent. Séparation des tâches – un contrôle spécifique dans le cadre de la norme ISO 27001 – est un excellent moyen de réduire les risques en garantissant que plusieurs personnes sont nécessaires pour exécuter un processus à haut risque.
La rapidité est essentielle pour réagir à une attaque qui passe ces différents contrôles. C'est pourquoi il est également judicieux de planifier votre réponse aux incidents avant qu'une attaque BEC ne se produise. Créez des manuels de stratégie pour les incidents BEC suspectés, incluant la coordination avec les institutions financières et les forces de l'ordre, qui définissent clairement les responsabilités de chaque partie de la réponse et leurs interactions.
Surveillance de sécurité continue – un principe fondamental de la norme ISO 27001 – est également crucial pour la sécurité des e-mails. Les rôles évoluent. Les employés quittent l'entreprise. Il est essentiel de surveiller attentivement les privilèges et d'être attentif aux nouvelles vulnérabilités pour éviter les dangers.
Les escrocs BEC investissent dans le développement de leurs techniques, car elles sont rentables. Il suffit d'une seule arnaque majeure pour justifier les efforts qu'ils déploient pour cibler des dirigeants clés avec des demandes financières. C'est l'exemple parfait du dilemme du défenseur : un attaquant ne doit réussir qu'une fois, tandis qu'un défenseur doit réussir à tous les coups. Ce ne sont pas les probabilités que nous aimerions, mais la mise en place de contrôles efficaces permet de les équilibrer plus équitablement.
