Trace Id is missing

L’évolution des tactiques alimente la montée en puissance de la compromission de messagerie d’entreprise

Numéro 4 de Cyber Signals : la carte de la confiance

La fraude en lien avec la messagerie professionnelle continue d’augmenter, le Federal Bureau of Investigation (FBI) faisant état de plus de 21 000 plaintes avec des pertes ajustées de plus de 2,7 milliards USD. Microsoft a observé une augmentation de la sophistication et des tactiques des acteurs de la menace spécialisés dans la compromission de messagerie d’entreprise (BEC), y compris l’utilisation d’adresses de protocole Internet (IP) résidentielles pour faire apparaître les campagnes d’attaque comme générées localement.

Cette nouvelle tactique aide les criminels à monétiser davantage le cybercrime en tant que service (CaaS) et a attiré l’attention des autorités fédérales chargées de l’application de la loi parce qu’elle permet aux cybercriminels d’échapper aux alertes de « voyage impossible » utilisées pour identifier et bloquer les tentatives de connexion anormales et d’autres activités suspectes sur les comptes .

Nous sommes tous des défenseurs de la cybersécurité.
L’équipe Digital Crimes Unit de Microsoft a observé une augmentation de 38 % des cybercrimes en tant que service ciblant les services de courrier professionnel entre 2019 et 2022.

L’essor du service de BEC à l’échelle industrielle de BulletProftLink

L’activité cybercriminelle relative à la compromission de messagerie d’entreprise s’accélère. Microsoft observe une tendance significative dans l’utilisation par les attaquants de plateformes telles que BulletProftLink, une plateforme populaire pour créer des campagnes de courrier malveillant à l’échelle industrielle. BulletProftLink vend un service de bout en bout comprenant des modèles, l’hébergement et des services automatisés pour la BEC. Les adversaires qui utilisent ce CaaS reçoivent des informations d’identification et l’adresse IP de la victime.

Les acteurs de la menace BEC achètent ensuite des adresses IP auprès de services IP résidentiels correspondant à la localisation de la victime, créant ainsi des proxys IP résidentiels qui permettent aux cybercriminels de masquer leur origine. Désormais, armés d’un espace d’adressage localisé pour soutenir leurs activités malveillantes, en plus des noms d’utilisateur et des mots de passe, les attaquants par BEC peuvent dissimuler leurs mouvements, contourner les indicateurs « voyage impossible » et ouvrir une passerelle pour mener d’autres attaques. Microsoft a observé que les acteurs de la menace en Asie et dans un pays d’Europe de l’Est déployaient le plus souvent cette tactique.

La détection « voyage impossible » est utilisée pour indiquer qu’un compte d’utilisateur pourrait être compromis. Ces alertes signalent les restrictions physiques qui indiquent qu’une tâche est exécutée à deux endroits, sans que le temps nécessaire pour se rendre d’un endroit à l’autre ne soit possible.

La spécialisation et la consolidation de ce secteur de l’économie du cybercrime pourraient intensifier l’utilisation d’adresses IP résidentielles pour échapper à la détection. Les adresses IP résidentielles associées à des localisations à grande échelle permettent aux cybercriminels de rassembler de grandes quantités d’informations d’identification compromises et d’accéder à des comptes. Les acteurs de la menace utilisent des services d’adresse IP et de proxy que les responsables marketing et d’autres personnes peuvent utiliser à des fins de recherche pour étendre ces attaques. Un fournisseur de services d’adresse IP, par exemple, dispose de 100 millions d’adresses IP pouvant faire l’objet d’une rotation ou d’une modification chaque seconde.

Alors que les acteurs de la menace utilisent l’hameçonnage en tant que service comme EvilProxy, NakedPages et Caffeine pour déployer des campagnes d’hameçonnage et obtenir des informations d’identification compromises, BulletProftLink offre une conception de passerelle décentralisée, qui comprend des nœuds de blockchain publique Internet Computer pour héberger des sites d’hameçonnage et de BEC, créant ainsi une offre web décentralisée encore plus sophistiquée qui est beaucoup plus difficile à perturber. La répartition de l’infrastructure de ces sites à travers la complexité et la croissance évolutive des blockchains publiques complique leur identification et l’alignement des actions de démantèlement. Bien que vous puissiez supprimer un lien d’hameçonnage, le contenu reste en ligne et les cybercriminels reviennent pour créer un lien vers le contenu CaaS existant.

Les attaques par BEC réussies coûtent aux organisations des centaines de millions de dollars par an. En 2022, l’équipe Recovery Asset Team du FBI a lancé le processus Financial Fraud Kill Chain pour 2 838 plaintes relatives à des transactions nationales impliquant des BEC et représentant des pertes potentielles de plus de 590 millions USD.

Bien que les implications financières soient importantes, les dommages à plus long terme peuvent inclure l’usurpation d’identité si des informations d’informations d’identification personnelle sont compromises, ou la perte de données confidentielles si de la correspondance sensible ou de la propriété intellectuelle sont exposées dans des courriels et des messages malveillants.

Types de courriel d’hameçonnage

Graphique à secteurs montrant la répartition en pourcentage des différents types de courriel d’hameçonnage utilisés dans les attaques de type BEC. Le type le plus courant est Leurre (62,35 %), suivi de Données de paie (14,87 %), Facture (8,29 %), Carte cadeau (4,87 %), Informations professionnelles (4,4 %) et Autre (5,22 %).
Les données représentent un instantané des types d’hameçonnage par BEC de janvier 2023 à avril 2023. Pour en savoir plus sur cette image, voir la page 4 du rapport complet.

Les principales cibles des BEC sont les cadres et autres dirigeants, les responsables financiers, le personnel des ressources humaines ayant accès aux dossiers des employés tels que les numéros de sécurité sociale, les déclarations de revenus ou d’autres informations personnelles. Les nouveaux employés, peut-être moins enclins à identifier les demandes par courriel inhabituelles, sont également ciblés. Presque toutes les formes d’attaques par BEC sont en augmentation. Les principales tendances des cibles des attaques par BEC sont le leurre, les données de paie, les factures, les cartes cadeaux et les informations professionnelles.

Les attaques par BEC se distinguent dans le secteur du cybercrime par l’importance qu’elles accordent au piratage psychologique et à l’art de la tromperie. Au lieu d’exploiter les vulnérabilités des appareils non corrigés, les opérateurs BEC cherchent à exploiter la masse quotidienne de courriels et d’autres messages pour inciter les victimes à fournir des informations financières ou à prendre des mesures directes, comme envoyer à leur insu des fonds sur des comptes de mule financière, qui aident les criminels à effectuer des transferts d’argent frauduleux.

Contrairement à une attaque par ransomware « ostentatoire » avec des messages d’extorsion perturbateurs, les opérateurs BEC jouent discrètement la carte de la confiance en utilisant de fausses échéances et l’urgence pour exhorter les destinataires, qui peuvent être distraits ou habitués à ce type de demandes urgentes, à entreprendre des actions. Au lieu d’utiliser de nouveaux logiciels malveillants, les adversaires BEC adaptent leurs tactiques pour se concentrer sur des outils améliorant la portée, la plausibilité et le taux de réussite des messages malveillants.

Bien qu’il y ait eu plusieurs attaques très médiatisées utilisant des adresses IP résidentielles, Microsoft partage l’inquiétude des forces de l’ordre et d’autres organisations qui craignent que cette tendance ne s’étende rapidement, compliquant dans la plupart des cas la détection de l’activité au moyen d’alarmes ou de notifications traditionnelles.

Les différences dans les emplacements de connexion ne sont pas intrinsèquement malveillantes. Par exemple, un utilisateur peut accéder à des applications métier avec un portable via un réseau Wi-Fi local et se connecter simultanément aux mêmes applications professionnelles sur son smartphone via un réseau cellulaire. C’est pourquoi les organisations peuvent adapter les seuils de signalement des voyages impossibles en fonction de leur tolérance au risque. Cependant, l’échelle industrielle des adresses IP localisées pour les attaques par BEC crée de nouveaux risques pour les entreprises, car les attaquants adaptatifs par BEC et autres prennent de plus en plus l’option d’acheminer le courrier malveillant et d’autres activités par l’intermédiaire de l’espace d’adressage proche de leurs cibles.

Recommandations :

  • Optimisez les paramètres de sécurité en protégeant votre boîte de réception : les entreprises peuvent configurer leur système de messagerie pour signaler les messages envoyés par des tiers. Activez les notifications lorsque les expéditeurs des courriels ne sont pas vérifiés. Bloquez les expéditeurs dont vous ne pouvez pas confirmer l’identité de manière indépendante et signalez leurs courriels comme étant des tentatives d’hameçonnage ou des courriers indésirables dans les applications de messagerie.
  • Configurez une authentification forte : rendez votre messagerie plus difficile à compromettre en activant l’authentification multifacteur, qui exige un code, un code PIN ou une empreinte digitale en plus du mot de passe pour se connecter. Les comptes pour lesquels la MFA est activée sont plus résistants au risque de compromission des informations d’identification et aux tentatives de connexion par force brute, quel que soit l’espace d’adressage utilisé par les attaquants.
  • Formez les employés à repérer les signes d’alerte : apprenez aux employés à détecter les courriels frauduleux et malveillants, tels que la non-concordance entre le domaine et l’adresse de courriel, ainsi que les risques et les coûts associés aux attaques BEC réussies.

La vigilance et la sensibilisation sont nécessaires pour lutter contre la compromission de messagerie d’entreprise.

Bien que les acteurs de la menace aient créé des outils spécialisés pour faciliter la BEC, notamment des kits d’hameçonnage et des listes d’adresses de courriel vérifiées ciblant les cadres supérieurs, les responsables des comptes fournisseurs et d’autres rôles spécifiques, les entreprises peuvent employer des méthodes pour anticiper les attaques et atténuer les risques.

Par exemple, une politique Domain-based Message Authentication, Reporting, and Conformance (DMARC) de « rejet » offre la protection la plus forte contre les courriels falsifiés, en garantissant que les messages non authentifiés sont rejetés par le serveur de messagerie, avant même d’être livrés. En outre, les rapports DMARC permettent à une organisation d’être informée de la source d’une falsification apparente, information qu’elle ne recevrait pas normalement.

Même si les organisations gèrent depuis quelques années les employés hybrides ou travaillant à distance, il est toujours nécessaire de repenser la sensibilisation à la sécurité dans l’ère du travail hybride. Étant donné que les employés travaillent avec un plus grand nombre de fournisseurs et de sous-traitants, et qu’ils reçoivent donc plus de courriels « vus pour la première fois », il est impératif de savoir ce que ces changements dans les rythmes de travail et la correspondance signifient pour votre surface d’attaque.

Les tentatives de BEC des acteurs de la menace peuvent prendre de nombreuses formes : appels téléphoniques, SMS, courriels ou messages sur les réseaux sociaux. La falsification des messages de demande d’authentification et l’usurpation de l’identité de personnes ou d’entreprises sont également des tactiques courantes.

Une bonne première mesure défensive consiste à renforcer les politiques des services de comptabilité, de contrôle interne, de paie ou de ressources humaines sur la manière de répondre aux demandes ou aux notifications de changements concernant les instruments de paiement, les opérations ou les virements bancaires. Prendre du recul pour écarter les demandes qui ne respectent pas les politiques, ou contacter une entité requérante par l’intermédiaire de son site et de ses représentants légitimes, peut éviter aux organisations de subir des pertes considérables.

Les attaques par BEC sont un bon exemple de la raison pour laquelle le cyber-risque doit être abordé de manière transversale, avec les cadres et les dirigeants, les employés du service financier, les responsables des ressources humaines et les autres personnes ayant accès aux dossiers des employés tels que les numéros de sécurité sociale, les déclarations de revenus, les coordonnées et les plannings, aux côtés des responsables informatiques, de la conformité et du cyber-risque.

Recommandations :

  • Utilisez une solution de messagerie sécurisée : les plateformes nuage de messagerie d’aujourd’hui utilisent des capacités d’IA comme l’apprentissage automatique pour renforcer les défenses, en ajoutant une protection avancée contre l’hameçonnage et une détection des transferts suspects. Les applications nuage de messagerie et de productivité offrent également l’avantage de mises à jour de logiciel automatiques et continues, et d’une gestion centralisée des politiques de sécurité.
  • Sécurisez les identités pour empêcher les mouvements latéraux : la protection des identités est un pilier essentiel de la lutte contre les BEC. Contrôlez l’accès aux applications et aux données avec le modèle Confiance nulle et la gouvernance automatisée des identités.
  • Adoptez une plateforme de paiement sécurisée : envisagez de passer des factures envoyées par courriel à un système spécialement conçu pour authentifier les paiements.
  • Prenez un moment et passez un appel téléphonique pour vérifier les transactions financières : il vaut mieux une conversation téléphonique rapide pour confirmer la légitimité d’une transaction plutôt qu’une réponse rapide ou un clic, qui pourrait conduire à un vol. Établissez des politiques et des attentes rappelant aux employés qu’il est important de contacter directement les organisations ou les personnes, et de ne pas utiliser les informations fournies dans les messages suspects, afin de vérifier les demandes d’informations financières et autres.
Simeon Kakpovi, analyste principal de la veille des menaces, nous en dit plus sur les BEC et les acteurs iraniens de la menace.

Les données instantanées représentent les tentatives annuelles et quotidiennes moyennes de BEC détectées et étudiées par la Veille des menaces Microsoft entre avril 2022 et avril 2023. Les suppressions d’URL d’hameçonnage dirigées par l’équipe Digital Crimes Unit de Microsoft se situent entre mai 2022 et avril 20231.

  • 35 millions par an
  • 156 000 par jour
  • 417 678 URL d’hameçonnage supprimées
  1. [1]

    Méthodologie : pour les données instantanées, les plateformes Microsoft, notamment Microsoft Defender for Office, la Veille des menaces Microsoft et l’équipe Digital Crimes Unit (DCU) de Microsoft, ont fourni des données anonymisées sur les vulnérabilités des appareils, et des données sur l’activité et les tendances des acteurs de la menace. En outre, les chercheurs ont utilisé des données provenant de sources publiques, telles que l’Internet Crime Report 2022 du Federal Bureau of Investigation (FBI) et la Cybersecurity & infrastructure Security Agency (CISA). La statistique de couverture est basée sur les engagements entre de 2019 et 2022 de l’équipe DCU de Microsoft par rapport au cybercrime en tant que service ciblant les messageries d’entreprise. Les données instantanées représentent les tentatives de BEC annuelles et quotidiennes moyennes ajustées, détectées et examinées.

Articles connexes

Analyses de Simeon Kakpovi, spécialiste des acteurs iraniens de la menace

Simeon Kakpovi, analyste principal de la veille des menaces, parle de la formation de la prochaine génération de cyber-défenseurs et de la capacité à surmonter la ténacité des acteurs iraniens de la menace.

Le risque de sécurité unique des appareils IoT/OT

Dans notre dernier rapport, nous nous penchons sur la manière dont la connectivité IoT/OT croissante entraîne des vulnérabilités plus importantes et plus graves que les acteurs organisés de la cybermenace peuvent exploiter.

Anatomie d’une surface d’attaque moderne

Face à une surface d’attaque de plus en plus complexe, les entreprises doivent mettre en place un dispositif de sécurité complet. Avec six secteurs majeurs de la surface d’attaque, ce rapport vous montrera comment une bonne veille des menaces peut contribuer à faire pencher la balance en faveur des défenseurs.

Suivez la Sécurité Microsoft