Prévention des risques liés au phishing

Transcription

Prévention des risques
liés au phishing
Évolution des techniques de phishing et
stratégies défensives
1
2
Résumé analytique
Le phishing est un phénomène vieux d’au moins 20 ans et pourtant, il représente encore plus de 90 % des attaques ciblées. La
raison est très simple : il s’agit d’une technique qui marche.
Près d’une personne sur quatre qui reçoit un courrier électronique de phishing l’ouvre, et plus de 10 % cliquent sur le lien
malveillant qu’il contient, ou ouvrent la pièce jointe frauduleuse. En envoyant ne serait-ce que 10 messages, un attaquant a donc
90 % de chances de piéger l’une de ses victimes. Selon l’institut Ponemon, une organisation de taille moyenne perd 3,7 millions
de dollars par an suite à des opérations de phishing.1 Et on ne considère là que les coûts mesurables.
Principes du phishing : tendances et tactiques
Contrairement aux autres cybermenaces, les attaques par phishing évoluent peu sur un plan technique. En revanche, les adeptes
de cette méthode imaginent des leurres chaque fois plus convaincants, afin de tirer parti des faiblesses humaines. Les courriers
de phishing sont conçus de manière à échapper à la surveillance des filtres traditionnels. Une fois dans la boîte de réception,
certains de leurs destinataires les ouvriront, qu’ils aient bénéficié ou non des formations adéquates. Les stratégies suivantes ont
été couramment observées ces derniers mois :
•
•
•
•
Envoi d’un message semblant provenir du service informatique de l’entreprise pour laquelle travaille le destinataire ;
Ciblage d’utilisateurs ou services spécifiques ;
Utilisation de documents incluant des macros malveillantes ;
Association à une attaque de type « watering-hole ».
Évolution des cibles
Les escrocs sont motivés par l’appât du gain. 40 % des campagnes de phishing ciblées visent les fournisseurs de services
financiers et de paiement. Les fournisseurs d’accès à Internet sont également des cibles fréquentes, car des services
d’hébergement et noms de domaine compromis permettent la diffusion d’autres menaces.
Au sein d’une même entreprise, le taux de clic varie en fonction du service et de la fonction du destinataire. Étonnamment, les
employés les plus consciencieux comptent parmi les plus à même de cliquer, surtout si le message revêt un caractère d’urgence,
ou s’il fait appel à leur sens de l’efficacité.
Le phishing permet aux attaquants de s’enrichir de diverses manières. Certains vendent les identifiants dérobés. D’autres
commercialisent des documents confidentiels. D’autres encore utilisent les identifiants volés pour réaliser des transactions
financières frauduleuses.
L’exploitation des faiblesses humaines, clé de la réussite des campagnes de phishing
Les attaquants usent de toutes sortes de stratagèmes pour que leurs liens et documents malveillants échappent aux filtres et
pare-feu. Ils y parviennent en exploitant la seule faille qui ne puisse être corrigée : le facteur humain.
Afin de contourner les systèmes standard de protection des messageries, ils modifient continuellement les URL et noms de domaine
et, pour ne pas éveiller les soupçons, n’agissent qu’à petite échelle. Ils usurpent l’identité d’amis et de collègues, de manière à
tromper la vigilance de leur destinataire et, grâce à des techniques d’ingénierie sociale, ils conçoivent des messages des plus
convaincants. Enfin, ils tirent parti de l’accroissement constant de l’empreinte numérique des employés pour trouver de nouvelles
portes d’entrée.
Se prémunir des attaques par phishing : quelques recommandations
Les employés sont désormais la cible privilégiée des attaquants. Il est donc nécessaire de les protéger par le biais de méthodes
adéquates, et d’évaluer les risques encourus avant que vos systèmes ne soient compromis.
Vous trouverez ci-dessous quelques recommandations pour lutter contre le phishing :
•
Limitez les cibles potentielles. Déployez des outils permettant de surveiller et d’analyser les messages, les URL, les pièces
jointes et les clics de façon statique et dynamique.
• Utilisez des systèmes de protection basés dans le cloud, afin de protéger vos employés où qu’ils se trouvent.
• Tirez parti des Big Data et des technologies d’apprentissage automatique, afin d’identifier les menaces inédites avant même
qu’un utilisateur n’ait le temps de cliquer.
• Améliorez la visibilité sur votre environnement et sur les tendances générales en matière de menaces. Des informations en
temps réel et une connaissance des activités frauduleuses dont vous êtes la cible vous aideront à réagir plus rapidement
et à limiter les conséquences indésirables. Déployez des outils qui vous indiqueront la nature et la cible des menaces, les
éléments frauduleux ayant échappé aux systèmes de sécurité et les personnes touchées.
Face à l’augmentation des données sensibles et confidentielles, ainsi qu’à la diversification des appareils, applications dans le cloud
et réseaux utilisés, les systèmes de défense traditionnels ne sont plus suffisants. Des outils novateurs agissent au cœur du flux de
travail, afin de surveiller les URL et pièces jointes, de fournir des informations en temps réel sur les menaces et d’observer l’activité
des utilisateurs, qu’ils soient connectés ou non au réseau de l’entreprise.
Les solutions de protection contre les attaques ciblées vous aideront à détecter et à endiguer les menaces avant qu’elles ne
compromettent votre sécurité.
1 Ponemon, The Cost of Phishing & Value of Employee Training, août 2015.
Table of Contents
Résumé analytique..................................................................................................................................................................................... 2
Introduction................................................................................................................................................................................................ 4
Les entreprises prises pour cible.............................................................................................................................................................. 4
Pourquoi les campagnes de phishing sont-elles encore efficaces ?...................................................................................................... 4
Menaces avancées, tendances et tactiques............................................................................................................................................. 5
Tendance : envoi de messages semblant provenir du service informatique................................................................................................................................................................... 5
Tendance : des campagnes hautement ciblées grâce à l’ingénierie sociale................................................................................................................................................................... 5
Tactique : le retour des macros......................................................................................................................................................................................................................................... 6
Tactique : les attaques de type « watering-hole ».............................................................................................................................................................................................................. 6
Quelles sont les personnes ciblées ?....................................................................................................................................................... 6
Destinataires des courriers de phishing et taux de clic.................................................................................................................................................................................................... 6
Who Gets Phishing Emails—and Who Clicks Them......................................................................................................................................................................................................... 7
Services financiers, fournisseurs de services Internet et secteur de la vente.................................................................................................................................................................. 7
Les raisons du succès des attaques......................................................................................................................................................... 7
Contournement des filtres................................................................................................................................................................................................................................................. 7
Usurpation de l’identité d’amis et de collègues................................................................................................................................................................................................................ 8
Usurpation d’URL et sites Web.......................................................................................................................................................................................................................................... 8
Ingénierie sociale............................................................................................................................................................................................................................................................... 8
Opportunités de propagation croissantes......................................................................................................................................................................................................................... 8
Solutions de défense contre les méthodes de phishing actuelles ........................................................................................................ 8
Limiter les cibles potentielles............................................................................................................................................................................................................................................. 8
Une solution basée dans le cloud pour une protection étendue...................................................................................................................................................................................... 9
Procédés prédictifs............................................................................................................................................................................................................................................................ 9
Surveillance et visibilité améliorées................................................................................................................................................................................................................................... 9
Les avantages d’un système de protection efficace et intégré............................................................................................................... 9
Comment Proofpoint peut vous aider....................................................................................................................................................... 10
Conclusions et recommandations............................................................................................................................................................ 11
3
4
Introduction
Vous venez de recevoir une notification du service Google Drive, qui vous informe que l’un de vos collègues a partagé un
document avec vous. Une fois vos identifiants saisis, vous réalisez que l’invitation ne provenait pas réellement de votre collègue.
Malheureusement, il est déjà trop tard : vous êtes la victime d’une tentative de phishing d’identifiants réussie. Vous venez de
communiquer votre mot de passe, et vos documents confidentiels sont en passe d’être vendus voire publiés.
Autre scénario, plus coûteux cette fois : vous recevez un message relatif à un problème de paiement, ou contenant des
informations d’ordre bancaire. En cliquant sur le lien ou le document joint, vous êtes redirigé vers ce qui semble être la page de
connexion de votre banque. Il s’agit en réalité d’un site Web frauduleux ressemblant trait pour trait au site officiel. Vous venez de
fournir vos identifiants à un cybercriminel, qui pourra les utiliser pour réaliser de nombreux transferts d’argent.
Le phishing est un phénomène vieux d’au moins 20 ans et pourtant, il représente encore plus de 90 % des attaques ciblées.
D’après le rapport Data Breach Investigations de Verizon, publié en 2015, 61 % des attaques débutent par un vol d’identifiants.2
Les cyber-escrocs font désormais appel à des techniques d’ingénierie sociale pour inciter leur victime à cliquer. En d’autres
termes, ils effectuent des recherches en amont pour concevoir des leurres crédibles, adaptés à leur cible.
Ces attaques hautement ciblées affectent les entreprises de toutes tailles et, trop souvent, font mouche.
Selon l’institut Ponemon, une organisation de taille moyenne perd 3,7 millions de dollars par an suite à des opérations de
phishing.3 On parle là uniquement des coûts mesurables : perte de productivité, temps consacré à réagir aux incidents et
nettoyage des systèmes infectés, entre autres. Ne sont pas pris en compte les coûts, plus difficilement évaluables mais non moins
réels, liés à la perte de clientèle, à l’affaiblissement des relations de partenariat et à une fragilisation de la réputation.
Le présent document décrit le fonctionnement des attaques de phishing actuelles et les raisons de leur efficacité. Vous
découvrirez également comment éviter que l’une d’elles ne cause de dommages durables à votre entreprise.
Les entreprises prises pour cible
D’après le rapport de 2016 sur le facteur humain, les campagnes de phishing ciblent désormais les entreprises. Les leurres les
plus fréquemment rencontrés au cours de cette étude étaient les notifications de message vocal aux couleurs de l’entreprise, les
courriers relatifs à la livraison de colis, les factures et autres documents financiers. Les campagnes étaient diffusées entre 9 et 10
heures, heure locale, afin de solliciter les utilisateurs dès leur arrivée au travail, mais avant que les services informatiques n’aient
eu le temps de détecter et de supprimer les messages frauduleux.
Les recherches précédentes sur le facteur humain ont également révélé un changement de cible. Les courriers malveillants
envoyés en milieu de journée visent le personnel polyvalent et les cadres intermédiaires, lesquels sont deux fois plus enclins à
cliquer que l’équipe dirigeante. Au sein des services commerciaux, financiers et d’approvisionnement, on note une propension à
cliquer supérieure de 50 à 80 % par rapport aux autres services.
Pourquoi les campagnes de phishing sont-elles encore efficaces ?
Cette technique d’attaque demeure populaire car elle fonctionne. Près d’un quart des destinataires ouvrent les messages de
phishing, et 10 % au moins cliquent sur le lien malveillant ou ouvrent la pièce jointe. En envoyant ne serait-ce que 10 messages,
un attaquant a donc 90 % de chances de piéger l’une de ses victimes. D’ailleurs, plus des deux tiers des attaques ayant porté
leurs fruits impliquaient au moins une manœuvre de phishing.4 Selon l’Anti-Phishing Working Group, un consortium international
qui regroupe des fournisseurs de solutions de sécurité et des agences gouvernementales, le nombre d’incidents déclarés a plus
que doublé entre 2014 et 2015.5 En outre, l’association a dénombré l’an passé près de 900 000 sites Web de phishing différents à
travers le monde.
Le phishing permet aux attaquants de s’enrichir de diverses manières. Certains vendent les identifiants dérobés. D’autres
commercialisent des documents confidentiels. D’autres encore utilisent les identifiants volés pour opérer des transactions
financières frauduleuses.
2 Verizon, “Data Breach Investigation Report”, 2015, http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigation-report-2015_en_xg.pdf
3 Ponemon. “The Cost of Phishing & Value of Employee Training.” August 2015.
4 Verizon, “Data Breach Investigation Report”, 2015, http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigation-report-2015_en_xg.pdf
5 Anti-phishing Working Group “Phishing activity trends report: 1st-3rd quarters 2015” http://docs.apwg.org/reports/apwg_trends_report_q1-q3_2015.pdf
5
Selon une récente étude menée par le fournisseur de services de sécurité RSA, le phishing peut faire perdre plus de 400 millions
de dollars par mois aux entreprises du monde entier.6 La réussite constante de ces attaques encourage les fraudeurs à redoubler
d’activité et d’ingéniosité. Tandis que de nouveaux cybercriminels font leur arrivée, les anciens cherchent d’autres cibles, ou
modifient leurs stratégies en raison de l’évolution des systèmes de protection.
Menaces avancées, tendances et tactiques
Pour porter leurs fruits, les campagnes de phishing doivent d’abord passer au travers des filtres de sécurité. Les stratégies
antérieures reposaient sur l’envoi d’un grand nombre de messages, dans l’espoir que quelques-uns parviennent à destination.
Dorénavant, les attaques sont plus sophistiquées. Une quantité importante de messages de phishing mal conçus continue d’être
diffusée, mais la grande majorité parvient à être filtrée. Les rares qui réussissent à atteindre leur destinataire ont une apparence
plus légitime et fiable. Conçus par le biais de techniques d’ingénierie sociale, ils contiennent des leurres efficaces.
Le rapport de 2016 sur le facteur humain a mis en évidence trois types de victimes :
•
Les activateurs sont la cible des campagnes de grande envergure, qui les poussent à désactiver les systèmes de défense,
cliquer sur des liens, ou ouvrir des fichiers permettant l’installation d’un logiciel malveillant.
•
Les facilitateurs sont touchés par des campagnes d’envergure moyenne, qui utilisent des écrans de connexion frauduleux,
mais très réalistes, pour inciter leur victime à saisir ses identifiants.
•
Les messagers sont, quant à eux, hautement ciblés. Il s’agit d’individus disposant
d’accès stratégiques qui, pensant suivre un ordre de leur hiérarchie, effectuent des
transferts de fonds ou redirigent des marchandises.
Tendance : envoi de messages semblant provenir du service informatique
Une étude menée ces deux dernières années auprès d’une grande société américaine
a révélé que, sur l’ensemble des messages de phishing ayant échappé aux filtres,
75 % semblaient provenir d’un service interne à l’entreprise, dont 45 % du service
informatique. Les 25 % restants traitaient de sujets divers : thèmes génériques,
demandes de vérification de compte externe, problèmes urgents, transactions
financières ou encore avis émanant du gouvernement
L’objet des messages (quotas applicables à la messagerie, demandes d’assistance,
partage de fichiers, factures ou paiements litigieux, etc.) semble souvent familier à leur
destinataire. La grande majorité des liens malveillants permet le vol d’identifiants, plutôt
que le téléchargement de logiciels dangereux. Quant aux pages de phishing les plus
efficaces, elles ressemblent trait pour trait aux sites de partage de fichiers.
Phishing Subjects
External
25%
Internal IT
45%
Other Urgent
Internal
30%
Tendance : des campagnes hautement ciblées grâce à l’ingénierie sociale
Une étude menée en 2015 a analysé plus de 1 000 messages de phishing collectés
entre 2002 et 2014, afin de comprendre l’évolution des stratégies adoptées.7 Tous les messages analysés sont passés au travers
des filtres anti-spams des chercheurs. En se basant sur des données existantes, ils ont étudié l’apparence et la réputation des
messages. Peu de différences en termes d’apparence (fautes de grammaire ou d’orthographe, par exemple) ont été observées
entre le premier groupe (avant 2007) et le dernier (2014). En revanche, les destinataires ont considérablement changé.
Alors que les plus anciens messages étaient diffusés à grande échelle, les plus récents ciblent des personnes ou services
spécifiques et tirent souvent parti de l’ingénierie sociale. Les attaquants emploient des noms corrects, font allusion aux projets ou
collègues appropriés, et vont même jusqu’à passer des appels ou laisser des messages vocaux pour gagner en crédibilité. Les
courriers semblent parfois provenir d’un collègue ou d’un supérieur, et échappent ainsi aux systèmes basés sur la réputation.
La diffusion a lieu à des heures définies, qui correspondent généralement aux périodes d’activité accrues c’est-à-dire, le plus
souvent, dans la matinée. Quant aux taux de clics, ils s’avèrent plus élevés le mardi.8 Néanmoins, pas une heure ni un jour ne
passent sans qu’une activité malveillante n’ait lieu.
Les réseaux sociaux sont également concernés par les campagnes de phishing. Les cybercriminels créent en effet de faux
comptes d’entreprise dans le but d’intercepter les demandes d’assistance et de dérober des informations de compte. Ainsi, plus
de 55% des comptes Facebook et 25% des comptes Twitter qui semblent représenter une marque du classement Fortune 100 ne
sont pas officiels.
6 http://www.emc.com/emc-plus/rsa-thought-leadership/online-fraud/index.htm
7 Yates, D. & Harris, A.L. “Phishing Attacks Over Time: A Longitudinal Study”. AMCIS, Association for Information Systems, (2015).
8 Proofpoint, Le facteur humain, rapport de 2015 : https://www.proofpoint.com/fr/id/Q215-New-Human-Factor-Report
6
Most Used Attachment Extensions for Spearphishing in the First Two Months of 2015 (%)
50
45
40
35
30
25
20
15
10
5
0
.doc
.class
.txt
.bin
.xls
.ace
.vbs
.exe
.pdf
.rtf
.scr
.rar
.ppsx
Tactique : le retour des macros
Autre évolution : la résurgence des pièces jointes malveillantes au détriment des URL.9 Puisque les utilisateurs ont pris l’habitude
de vérifier les liens contenus dans les messages, les attaquants ont opté pour un retour aux pièces jointes. Mais plutôt que
d’utiliser des fichiers exécutables qui ne trompent plus personne, ils préfèrent recourir à l’ancienne technique des macros.
Par souci de sécurité, Microsoft propose, depuis plus d’une dizaine d’années, la désactivation par défaut des macros incluses
dans les fichiers Office, ainsi que l’affichage d’un avertissement. Les macros sont ainsi exécutées uniquement si l’utilisateur les
active expressément. Malheureusement, comme beaucoup d’entreprises en intègrent dans leurs propres documents Office, les
employés ont pris l’habitude d’ignorer ces avertissements. Cette disposition, mêlée à la finesse des méthodes d’ingénierie sociale,
explique l’efficacité des campagnes impliquant des macros malveillantes. D’ailleurs, les messages de phishing accompagnés de
fichiers .doc ou .xls sont désormais légion.
Tactique : les attaques de type « watering-hole »
On pense généralement que les attaques de type « watering-hole »
appartiennent à la catégorie des menaces liées au Web, plutôt qu’à la
messagerie. En effet, elles impliquent de compromettre un site Web
fréquemment visité par le public cible, afin d’infecter les systèmes via un
logiciel malveillant. Toutefois, dans de nombreux cas, ces attaques ont pour
départ un courrier de phishing.
Une fois de plus, les escrocs s’appuient sur les réseaux sociaux pour
identifier les sites Web les plus consultés par l’entreprise. Puis, ils diffusent
des courriers électroniques proposant coupons, bons de réduction, mises à
jour de logiciels, ou autres offres tout à fait plausibles, afin de conduire leur
cible vers le site compromis.
Quelles sont les personnes ciblées ?
Contrairement aux autres formes de cyberattaque, le phishing tire davantage parti du facteur humain que des failles techniques.
Au fil des ans, les concepteurs de logiciels malveillants se sont adaptés au perfectionnement des systèmes de protection. Ils
ont appris à contourner les solutions de sandboxing et cherchent à profiter d’avantages technologiques. Bien que le format des
messages et leur esthétisme aient évolué, les campagnes de phishing sont, elles, demeurées égales d’un point de vue technique.
Cela est dû au fait que leur efficacité dépend principalement des utilisateurs. Or, en dépit des formations et des actions de
sensibilisation, ces derniers ne sont pas toujours en mesure d’évaluer les risques qu’ils encourent.
Les travailleurs méticuleux sont les plus vulnérables
Les attaquants semblent apprendre de leurs succès et de leurs échecs ; cela expliquerait certaines des tendances dont nous
venons de faire état.
Une récente étude a révélé que les travailleurs les plus méticuleux étaient plus à même que leurs collègues de cliquer sur les
messages de phishing semblant revêtir un caractère d’urgence, ou faisant appel à leur sens de l’efficacité.
En d’autres termes, certains de vos meilleurs employés, ceux que vous ne soupçonneriez jamais de cliquer sur un message
de phishing, sont en réalité les plus susceptibles de se faire prendre au jeu des cybercriminels. La raison est simple : c’est leur
personnalité qui est prise pour cible, ainsi leur sens de l’efficacité et de l’urgence.10
9 http://resources.infosecinstitute.com/spear-phishing-statistics-from-2014-2015/
10 Halevi, T., Memon, N., Nov, O., “Spear-phishing in the wild: A real-world study of personality, phishing self-efficacy, and vulnerability to spear-phishing attacks”,
http://ssrn.com/abstract=2544742, January 2015.
< 1%
Classifieds
Delivery service
Education
MM Reseller
Classifieds
Delivery service
Education
MM Reseller
ISP
26%
7
Payment
22%
Social Networking 1%
Financial
21%
Government 1%
Auction 2%
1
Gaming 3%
Unclassified 4%
Multimedia 5%
Retail/
Service
14%
Destinataires des courriers de phishing et taux de clic
Tous les services d’une entreprise reçoivent des messages de phishing, mais les volumes diffèrent légèrement. Les professionnels
du marketing sont les moins touchés, avec un peu moins de deux messages par jour. Réceptionnant environ trois messages par
jour, les commerciaux sont les proies les fréquentes.
Quant aux taux de clic, ils sont trois fois plus élevés au sein des services commerciaux, financiers et logistiques que parmi les
professionnels de l’informatique ou du service client.
L’équipe dirigeante, cible principale des précédentes campagnes, reçoit désormais autant de messages que ses subordonnés.
Mais ces derniers, croyant souvent suivre un ordre de leur hiérarchie, cliquent deux fois plus que les dirigeants. Ces chiffres
expliquent certainement pourquoi les campagnes de phishing tendent à imiter le style des messages internes à l’entreprise, et
reposent sur l’usage de macros et pièces jointes d’apparence officielle.
Services financiers, fournisseurs de services Internet et secteur de la vente
Les escrocs sont motivés par l’appât du gain. C’est pourquoi les fournisseurs de services financiers et de paiement demeurent la
cible de plus de 40 % des campagnes de phishing.11 Autre cible privilégiée : les fournisseurs de service Internet. Par leur biais, les
cybercriminels cherchent à obtenir des informations de compte afin de diffuser plus de spams, ainsi qu’à accéder aux services de
noms de domaine et d’hébergement nécessaires à leur future campagne.
Les raisons du succès des attaques
Pour qu’une attaque de phishing réussisse, les courriers doivent d’abord échapper aux systèmes de défense. Les attaquants
usent de toutes sortes de stratagèmes pour que leurs liens et documents malveillants atteignent l’entreprise, sans être détectés
par les filtres et pare-feu.12 Ces solutions de sécurité analysent généralement les éléments suivants :
•
•
•
•
La source du courrier électronique ;
Les mots clés contenus dans l’objet et le corps du message ;
La réputation des URL incluses ;
La signature des pièces jointes.
Contournement des filtres
Pour déjouer les systèmes de sécurité, les attaquants compromettent des serveurs de messagerie d’origine fiable et emploient
des mots anodins. L’enrichissement des listes noires par le crowdsourcing et les systèmes d’apprentissage automatique a permis
d’améliorer le filtrage des URL malveillantes à hauteur de 90 %. Mais avec la plupart des outils, l’identification et la propagation
des informations peuvent prendre entre 8 et 12 heures.
11 Anti-phishing Working Group “Phishing activity trends report: 1st-3rd quarters 2015” http://docs.apwg.org/reports/apwg_trends_report_q1-q3_2015.pdf
12 Alsharnouby, M., Alaca, F., Chiasson, S. “Why phishing still works” International Journal of Human-Computer Studies, 2015.
8
Les adeptes du phishing s’adaptent en remplaçant régulièrement leurs URL et noms de domaine, et en diffusant leurs campagnes
à plus petite échelle. Plus de 15 % des campagnes de spams globales sont constituées d’attaques de plus petite envergure, qui
emploient entre 100 et 5 000 courriers électroniques seulement. Ces attaques sont perpétrées sur moins de 12 heures, voire sur
deux heures uniquement pour certaines. Ainsi, à peine identifiées et inscrites sur la liste noire, elles ont déjà pris fin.
Usurpation de l’identité d’amis et de collègues
Les messages de phishing qui échappent aux systèmes de défense (10 %, voire moins) sont subtilement conçus. Ils sont
généralement diffusés depuis des comptes compromis ou des imitations de comptes de collègues, d’amis ou de fournisseurs.
Les plus efficaces incluent des messages vocaux ou des fax, ou font part de mises à niveau vers Windows 10 ou de problèmes
liés à un paiement ou une facturation.
Usurpation d’URL et sites Web
Bien que moins couramment employées, les URL malveillantes n’ont pas quitté la scène. Comme le disait Abraham Lincoln : «
vous pouvez tromper tout le monde un certain temps ». Effectivement, les sites de phishing les plus performants dupent 90 % des
utilisateurs.13 Les fenêtres de navigation affichent de nombreux indices sur la fiabilité d’un contenu, mais la plupart des gens se
concentrent uniquement sur la barre d’adresse.
Les spammeurs créent des noms de domaine pratiquement identiques aux noms légitimes, en usant de techniques de
substitution (remplacement de la lettre « l » minuscule par le chiffre « 1 », par exemple), en inversant des lettres, ou en utilisant des
noms composés (tels que « facture_nom-legitime.com » ou « nom-legitime.com.liendephishing.com »). Dans plus de 80 % des
cas, les messages de phishing qui ont échappé aux filtres utilisent des URL créées sur ces principes.
Une autre technique consiste à émuler les éléments utilisés par un site Web connu pour la saisie d’identifiants. Ces parfaites
imitations prétendent, notamment, permettre l’accès à des sites de partage de fichiers, à la messagerie ou à un service financier.
Agacés par ce qui apparaît comme une énième demande de connexion, les utilisateurs y répondront sans réfléchir. Beaucoup
seront ensuite redirigés vers le véritable site (auquel ils sont déjà connectés), inconscients d’avoir été leurrés.
Ingénierie sociale
Pour monter ces supercheries, les attaquants mènent souvent des recherches à grande échelle.15 Ils disposent ainsi de toutes les
informations utiles pour renforcer leur crédibilité :
•
•
•
•
Les appellations et titres corrects ;
Le nom des collègues, des fournisseurs et des clients ;
Les logiciels et sites Web auxquels le service a recours ;
Les informations financières utiles.
Ces données sont collectées à partir des réseaux sociaux, des déclarations publiques et communiqués de presse, des mots clés
utilisés dans les moteurs de recherche, ainsi que des en-têtes des messages interceptés.
L’ensemble des informations ainsi obtenues constitue une arme puissante : une connaissance approfondie de l’entreprise. Elles
permettent aux attaquants d’accompagner leurs courriers frauduleux d’appels téléphoniques, de messages vocaux, de SMS
ou d’autres communications urgentes semblant provenir d’un adjoint administratif, d’un consultant, ou d’une autre personne
influente.
Opportunités de propagation croissantes
Les attaquants tirent profit des opportunités de propagation croissantes que nous leur fournissons. La multiplication des
appareils, des lieux de travail et des applications Web collaboratives représente autant de portes ouvertes sur votre entreprise. Les
écrans de taille réduite compliquent la distinction entre un site ou message légitime et sa copie frauduleuse. En outre, dans un
environnement où l’on nous pousse à répondre toujours plus rapidement, un message à l’apparence familière a encore plus de
chances d’échapper à notre méfiance.
Les attaquants cherchent également à piéger leurs victimes où elles sont les plus vulnérables : sur des réseaux publics ou
domestiques, au sein desquels les systèmes de protection sont faibles, voire inexistants.
Il est important de sensibiliser les utilisateurs au phishing. Néanmoins, aucune formation n’éliminera jamais totalement les risques.
Considérant qu’en moyenne moins d’une minute s’écoule entre un clic et la survenue de l’incident, les pare-feu et systèmes de
défense traditionnels, qui agissent après qu’ait lieu le clic, ne sont pas suffisants. Il est nécessaire d’agir bien avant la réception du
message frauduleux.
Solutions de défense contre les méthodes de phishing actuelles
Les tentatives de phishing échappent à la surveillance des systèmes de défense traditionnels et à l’attention humaine. C’est
pourquoi des solutions de défense nouvelles et novatrices sont nécessaires. Ces outils vous permettront non seulement de limiter
les cibles potentielles, mais aussi de mener des actions ciblées grâce à des systèmes de renseignement et d’analyse dans le
cloud. Vous pourrez ainsi réagir rapidement et limiter les conséquences des attaques.
13 Dhamija, R., Tygar, J.D., Hearst, M. “Why phishing works” Proceedings of CHI-2006, Conference on Human Factors in Computing Systems, 2006
14 Infosec Institute, “Phishing attacks using public data”, 2016, http://resources.infosecinstitute.com/phishing-attacks-using-public-data/.
9
Limiter les cibles potentielles
La première étape du processus de défense consiste à limiter les cibles potentielles. Pour procéder efficacement, vous
devez connaître l’activité des utilisateurs, leur comportement, ainsi que les moments auxquels vos informations sensibles ou
confidentielles sont les plus vulnérables.
L’ingénierie sociale et l’exploitation du facteur humain entrent en jeu dans une portion croissante de campagnes, qu’elles agissent
par le biais de courriers électroniques, d’applications mobiles ou de réseaux sociaux. Votre solution doit donc permettre de
surveiller et d’analyser les messages, URL, pièces jointes et clics en continu.
En revanche, le recours au code dynamique par les attaquants amoindrit l’intérêt d’un contrôle des signatures. Les systèmes
de défense actuels doivent prendre en compte de multiples facteurs. Ils doivent être en mesure de détecter rapidement les URL
malveillantes connues comme inédites, et analyser les fragments de code afin de repérer tout comportement dangereux. Ils
doivent également procéder à une observation dynamique des comportements par une mise en sandbox. Cette dernière doit
permettre de simuler un utilisateur réel, afin d’empêcher toute tentative d’évasion à l’aide de minuteurs, mouvements de souris, ou
d’autres techniques.
Une solution basée dans le cloud pour une protection étendue
L’étape suivante consiste à élargir le champ de protection. Outils de collaboration et de partage dans le cloud, réseaux sociaux,
utilisation d’appareils personnels dans le cadre du travail, déplacements... de plus en plus d’activités ont lieu en dehors du réseau
de l’entreprise. Il n’est donc pas étonnant qu’un clic sur cinq ait lieu hors de votre périmètre réseau.
En outre, parce qu’elles exposent à des contraintes de temps élevées et favorisent l’utilisation de petits écrans, ces conditions de
travail génèrent une augmentation du taux de clic. Parce que les attaquants, tout comme les utilisateurs, ont appris à contourner
les serveurs proxy, chaque lien inclus dans un courrier électronique doit être réécrit de façon dynamique, puis testé lors de
chaque clic. En outre, les applications mobiles permettent souvent des comportements à risque et, par là même, la fuite de
données ou le vol d’identifiants.
Les solutions basées dans le cloud peuvent être déployées rapidement et protéger des dizaines ou des centaines de milliers
d’utilisateurs, quels que soient le réseau, l’application et l’équipement utilisés. À l’image d’un nombre croissant d’applications, les
solutions de sécurité se doivent d’être applicables au cloud et aux appareils mobiles.
Procédés prédictifs
De nombreuses organisations tirent parti des Big Data afin de mieux comprendre le comportement de leurs clients. Les systèmes
de modélisation statistique et d’informations basés dans le cloud offrent des bénéfices similaires mais, en l’occurrence, contre les
menaces avancées.
Les dispositifs d’apprentissage automatique créent des modèles statistiques pour chaque utilisateur et signalent les messages
anormaux ou suspects. Le caractère malveillant des messages et URL est ensuite déterminé en tenant compte d’une base de
données sans cesse enrichie, des campagnes de phishing existantes, des contenus inspectés et d’autres caractéristiques. On
dispose ainsi d’une solution de protection capable de détecter les menaces récentes voire inédites, avant qu’un utilisateur n’ait eu
le temps de cliquer.
Surveillance et visibilité améliorées
Hélas, tant que les utilisateurs pourront être exploités, aucun système de sécurité ne sera efficace à 100 %. Il est donc essentiel
que vous ayez connaissance des campagnes actives et des menaces dirigées contre votre personnel. Les tableaux de bord
graphiques, accessibles depuis le Web, permettent de connaître :
•
•
•
•
Les utilisateurs ciblés et les menaces concernées ;
Le moment auquel les attaquants ont pénétré dans votre environnement ;
Les menaces qui ont échappé à vos systèmes de protection ;
Les utilisateurs affectés.
Ces informations précises et détaillées vous permettront de réagir plus rapidement et efficacement, et de limiter les conséquences
d’une attaque.
Les avantages d’un système de protection efficace et intégré
Votre personnel, vos données et vos ressources numériques sont d’une immense valeur. Vous devez les protéger. Or, les tentatives
de phishing échappent à la surveillance des systèmes de défense traditionnels. Une suite complète et moderne de solutions de
sécurité peut protéger vos données sensibles et confidentielles des attaques ciblées.
Les systèmes de défense dans le cloud se déploient facilement, s’appliquent à l’ensemble de vos applications et traitent les Big Data,
le tout à un coût moindre que les solutions sur site. Par ailleurs, les tableaux de bord intégrés vous procurent toutes les informations
nécessaires pour réagir rapidement et limiter les risques en cas d’incident.
Comment Proofpoint peut vous aider
Proofpoint propose une solution de sécurité complète dans le cloud, qui vous permettra
de détecter et de maîtriser efficacement les menaces avancées en surveillant vos
systèmes de messagerie, réseaux sociaux et applications mobiles. La solution Proofpoint
Targeted Attack Protection (TAP) offre une protection inégalée de votre messagerie,
contre les logiciels malveillants polymorphes, les documents dangereux et le phishing.
Protection adaptée aux nouvelles méthodes de travail
Pour assurer une protection efficace de votre personnel, vous devez vous adapter à leurs
nouvelles habitudes de travail. Cela implique :
•
d’analyser les données et ressources cruciales pour l’activité de votre entreprise.
•
d’évaluer les risques encourus et de limiter les cibles potentielles.
•
de protéger votre personnel, quel que soit l’équipement et le réseau utilisés.
Un déploiement rapide dans le cloud, pour une efficacité immédiate
L’architecture dans le cloud permet un déploiement rapide et un profit immédiat. La solution
Proofpoint TAP offre les avantages suivants :
•
Des mises à jour logicielles instantanées, pour une incorporation rapide des nouvelles protections ;
•
Un déploiement rapide vers des centaines de milliers de systèmes en quelques jours ;
•
Une protection unique des principales technologies dans le cloud, contre les menaces avancées.
Détection des menaces connues ou inédites grâce à des techniques
adaptables et sophistiques
Une solution de sécurité doit être en mesure d’anticiper l’évolution des menaces. Cela implique :
•
d’analyser les menaces à différents stades, par la surveillance de l’ensemble de la chaîne.
•
de maîtriser et réagir efficacement aux menaces, grâce à une visibilité complète sur les cibles potentielles.
•
d’adapter les techniques de défense en permanence, afin de garder une longueur d’avance sur
les attaquants.
Des informations complètes, pour une détection et une réponse rapides
Parce qu’elles reposent sur une base de données communautaire, les solutions Proofpoint
vous font profiter des informations les plus précises disponibles. Ainsi :
•
Vous profitez d’une vision globale et internationale sur les campagnes actives.
•
Vous pouvez étudier la stratégie des attaquants, à l’aide d’un graphique offrant plus de 300
milliards de points de données et qui vous permettra de contrecarrer plus facilement l’attaque
suivante.
•
Vous disposez de toutes les informations nécessaires pour réagir efficacement en cas d’incident.
•
Vous pouvez obtenir des informations sur les menaces encore plus détaillées, grâce à la
fonctionnalité Proofpoint Emerging Threats Intelligence.
10
11
Conclusions et recommandations
Les tactiques de phishing ont évolué. Les employés sont désormais la cible privilégiée des attaquants. Il est donc nécessaire de
les protéger par le biais de méthodes adéquates, et d’évaluer les risques encourus avant que vos systèmes ne soient compromis.
Pour faire face à ces situations, il est nécessaire d’investir dans une situation déployable rapidement. Seules les solutions dans le
cloud vous permettront une analyse minutieuse en temps réel, à l’aide d’une imposante base de données. Il vous faut également
des outils prédictifs, afin d’identifier les menaces inédites et d’anticiper les prochaines attaques.
Les cybercriminels ont l’art d’usurper l’identité de vos proches. Les solutions de protection contre les attaques ciblées vous
aideront à détecter, à gérer et à contrecarrer les menaces avant qu’elles ne compromettent votre sécurité.
Pour en savoir plus sur nos outils de détection et de protection contre le phishing en milieu professionnel, rendez-vous à l’adresse
www.proofpoint.com/fr. Pour une évaluation gratuite, contactez-nous dès à présent via la page www.proofpoint.com/cybersecurityassessment.
À propos de Proofpoint
12
Proofpoint Inc. (NASDAQ : PFPT) est un leader en matière de sécurité et de conformité, proposant des solutions dans le cloud. Ces dernières
permettent de bénéficier de fonctionnalités de protection, conformité, archivage et gestion des données, de réponse aux incidents, ainsi que
de services de réseautage et de communication mobile sécurisés. De nombreuses entreprises de par le monde comptent sur l’expertise, les
technologies brevetées et le système de service à la demande de Proofpoint. Ces solutions leur permettent de se prémunir contre le phishing,
les logiciels malveillants et les spams, de protéger la confidentialité de leurs données, de chiffrer leurs informations sensibles, et d’archiver leurs
messages afin d’en simplifier la gestion. Pour obtenir des informations supplémentaires, rendez-vous à l’adresse www.proofpoint.com.
www.proofpoint.com
©Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. in the United States and other countries. All other trademarks contained herein are property of their
respective owners.

Prévention des risques liés au phishing

Transcription

Documents pareils

La pêche aux gogos !

Page 1 of 2 1 semaine de vacances en Floride à gagner! 14.03

le phishing

Se servir de sa messagerie - mes fiches pratiques

Alerte à la fraude ‒ Phishing : les dernières tactiques et

A quoi ça ressemble du phishing* ?

Beware of Phishing attacks

Le Phishing Au delà du Phishing – Man in the Middle