Cassie Chadwick était une fraudeuse au début du 20e siècle. Chadwick a commis une première version de l’usurpation d’identité pour réaliser une fraude électronique, en convainquant les banques qu’elle était la fille illégitime d’Andrew Carnegie afin de contracter des prêts sur la base de cette affirmation. En 1905, Cassie a été condamnée à dix ans de prison pour avoir escroqué une banque.

Les escroqueries réussies, comme celle de Chadwick, entrent dans la légende. Au fil des siècles, les fraudeurs ont eu recours à l’ingénierie sociale et à des escroqueries similaires pour amasser de vastes sommes d’argent en trompant leurs cibles.

Aujourd’hui, les fraudeurs utilisent les moyens de communication modernes tels que le courrier électronique pour réaliser des escroqueries. Cependant, ils doivent toujours utiliser les éléments d’une histoire convaincante pour s’assurer qu’un courriel d’hameçonnage réussit à tromper son destinataire.

Voici les éléments d’une attaque dephishing convaincante.

Pourquoi se concentrer sur les attaques de phishing?

Les attaques par hameçonnage existent depuis les premiers jours du courrier électronique. C’est logique, car le courrier électronique peut être utilisé comme point de connexion entre un pirate et le réseau de l’entreprise, c’est-à-dire comme une passerelle de communication qui peut ouvrir ce réseau en aidant à voler des mots de passe, des noms d’utilisateur et des adresses de courrier électronique ou à diffuser des logiciels malveillants.

Le phishing reste le « vecteur d’attaque le plus courant » selon la dernière étude du gouvernement britannique présentée dans le rapport « Cyber Security Breaches Survey 2021 » (Enquête sur les atteintes à lacybersécurité 2021). La raison pour laquelle le phishing continue d’être utilisé est qu’il continue d’avoir beaucoup de succès : jusqu’à 32 % des employés cliquent sur le lien d’un courriel dephishing et jusqu’à 8 % ne savent même pas ce qu’est un courriel dephishing.

Un seul employé qui clique sur un lien d’un courriel d’hameçonnage et qui entre ses identifiants de connexion fait courir à l’ensemble de l’entreprise le risque d’une violation de données ou d’une infection par des logiciels malveillants. Même les employés disposant de privilèges d’accès moindres peuvent conduire à une escalade des privilèges et à des violations de données.

Le phishing est l’un des principaux points d’attaque et, à ce titre, les cybercriminels s’efforcent de rendre ce vecteur d’attaque convaincant afin d’en assurer le succès.

Éléments de réussite pour les employés chargés de l’hameçonnage

Pour réussir à hameçonner un employé, un fraudeur doit s’assurer que l’ensemble de la campagne d’hameçonnage est convaincante, de l’aspect et de la convivialité de l’e-mail jusqu’à tout faux site vers lequel les liens d’hameçonnage renvoient l’employé. Les éléments d’une campagne de phishing convaincante sont de plus en plus sophistiqués :

Usurpation d’identité de la marque

L’usurpation de marque est utilisée depuis l’avènement de l’ hameçonnage par courrier électronique. Certaines marques sont populaires auprès des entreprises et sont systématiquement utilisées pour faire croire aux destinataires que l’e-mail est légitime et qu’ils doivent fournir leurs informations personnelles.

Check Point effectue régulièrement des recherches sur les marques les plus populaires utilisées dans les campagnes de phishing. L’une des marques les plus usurpées en 2021 était Microsoft, la marque étant utilisée dans environ 45 % des campagnes de phishing au deuxième trimestre 2021.

URL malveillants, longs et redirigés

Survoler un lien dans un courrier électronique n’est pas toujours un moyen sûr de repérer un lien malveillant. Récemment, les fraudeurs ont commencé à utiliser des  » URLfictives » pour masquer la nature malveillante d’un lien d’hameçonnage.

Il s’agit généralement de masquer la véritable adresse d’un lien à l’aide de caractères spéciaux. Un encodeur d’URL est utilisé pour modifier une URL en ajoutant des signes de pourcentage, c’est-à-dire en commençant une chaîne d’URL par un caractère % pour masquer la véritable nature d’une adresse web. Ces URL sont acceptées par Google et il est donc difficile de les empêcher à l’aide de filtres de contenu statique.

Les URL très longues sont également utilisées pour masquer une adresse web malveillante. Les liens de courrier électronique sur les appareils mobiles sont notoirement difficiles à voir, et les URL très longues rendent encore plus difficile la détection des liens suspects.

L’utilisation de liens multiples et de redirections est également utilisée pour confondre les utilisateurs. Une récente campagne de phishing à red irections multiples a fait passer les utilisateurs par une série de redirections, aboutissant à une page Google reCaptcha qui redirigeait finalement vers une page Office 365 falsifiée où les identifiants de connexion étaient volés.

Faux signaux de sécurité

Les gens ne peuvent plus compter sur l’utilisation de signaux de sécurité pour indiquer qu’un site web est digne de confiance. Par exemple, le symbole du cadenas que l’on voit sur certains sites web est associé au S à la fin de HTTP, c’est-à-dire HTTPS. Cela indique qu’un site web utilise un certificat numérique (certificat SSL) pour signaler qu’il s’agit d’un site sécurisé. Toutefois, le groupe de travail anti-hameçonnage (APWG) a constaté que 82 % des sites d’hameçonnage utilisaient un certificat SSL au deuxième trimestre 2021.

Trucs d’ingénierie sociale

Toutes les tactiques susmentionnées sont étayées par plusieurs astuces d’ingénierie sociale bien rodées qui permettent de piéger les employés et de les faire passer à l’étape suivante de la campagne de phishing. C’est l’aspect « ingénierie sociale » du phishing qui permet aux cybercriminels à l’origine de la campagne de lancer le processus qui aboutit aux ransomwares, aux violations de données et à d’autres types de cyberattaques.

L’ingénierie sociale est un terme générique qui fait appel à toute une série de techniques pour manipuler le comportement des employés :

  • Urgence : un courriel ou un message texte de phishing peut contenir une demande urgente d’exécution d’une tâche. Le Business Email Compromise (BEC) qui utilise des éléments d’hameçonnage dans l’attaque a souvent recours à cette astuce. Un exemple est un faux courriel qui peut sembler provenir d’un cadre de haut niveau avec une demande urgente de transférer de l’argent à un nouveau client ou de risquer de perdre le client.

  • Autres déclencheurs émotionnels : les fraudeurs jouent avec les émotions des gens pour les inciter à accomplir des tâches telles que cliquer sur un lien malveillant dans un courriel ou fournir des informations sensibles. La curiosité, l’inquiétude concernant la sécurité, le désir de plaire et de bien faire son travail sont autant d’éléments utilisés comme appâts pour l’hameçonnage.

  • Spear phishing et reconnaissance: pour perfectionner leurs attaques dephishing, les fraudeurs peuvent utiliser le spear phishing. Cette forme ciblée d’hameçonnage est à l’origine de nombreuses attaques, mais elle exige plus d’efforts de la part des fraudeurs, qui doivent créer des courriels reflétant fidèlement le rôle de la personne ciblée. Pour que les courriels de spear phishing soient couronnés de succès, les fraudeurs effectuent généralement une reconnaissance de la cible avant de créer la campagne d’hameçonnage.

Les cybercriminels sont passés maîtres dans l’art de créer des campagnes de phishing réussies et les statistiques le prouvent. Selon un rapport de l’APWG, « après avoir doublé en 2020, le nombre d’hameçonnages est resté stable mais élevé ». Les éléments d’une attaque dephishing convaincante sont éprouvés, testés et reconnus par les fraudeurs. En comprenant ces éléments, une organisation peut les atténuer plus efficacement.

Comment défendre votre organisation contre une attaque parhameçonnage ?

De plus en plus, les éléments d’une attaque de phishing réussie reposent sur l’application de techniques permettant d’échapper aux technologies anti-phishing traditionnelles telles que les filtres de contenu. Cela ne veut pas dire que les filtres de contenu ne jouent aucun rôle dans la protection d’une entreprise contre les campagnes de phishing sophistiquées.

Cependant, on ne peut pas s’y fier. Les campagnes d’hameçonnage continuent d’utiliser l’homme dans la machine pour pénétrer dans un réseau d’entreprise. Il faut s’attendre à ce que cette situation perdure et à ce que les concepteurs de campagnes d’hameçonnage trouvent toujours des moyens de contourner la technologie.

Une approche stratifiée de la lutte contre le phishing consiste à doter votre personnel des outils nécessaires pour empêcher le phishing de réussir. En combinant une formation de sensibilisation à la sécurité et des exercices de simulation d’hameçonnage, le personnel est préparé à repérer un courriel d’hameçonnage avant qu’il ne devienne un point d’entrée.

Risque de ransomware