Darktrace identifie une menace par e-mail : escroquerie aux aides COVID-19

Dan Fein, Director of Email Security Products | jeudi 13 août 2020

En mars 2020, nous avons documenté la montée en puissance des fearwares : ce type d’attaque par e-mail consiste à exploiter un sentiment collectif de peur et d’urgence pour inciter les destinataires à cliquer sur une pièce jointe ou un lien malveillant. Dans les semaines qui ont suivi, nous avons constaté l’enregistrement de plus de 130 000 nouveaux domaines e-mail destinés à être utilisés dans des opérations de phishing liées au COVID-19. Cinq mois plus tard, cette activité est aujourd’hui devenue monnaie courante pour les cybercriminels, qui continuent de profiter de la pandémie pour mener leurs attaques.

Ces dernières semaines, l’IA de Darktrace a constaté que certains cybercriminels changeaient de stratégie : au lieu de proposer des conseils sanitaires ou des données locales de diffusion du virus, ils ont commencé à se faire passer pour des fonds d’aide pour s’en prendre aux petites entreprises, déjà en difficulté.

100%
Mon Jul 27 2020, 16:04:11
Recipient:Anna Gumble <[email protected]>
SBA Application – Review and Proceed
Email Tags
Spam
Spoofing
Suspicious Link
Actions on Email
Double Lock Link
Hold Message
Move to Junk

Figure 1 : Aperçu interactif de l’interface utilisateur d’Antigena Email

Une petite entreprise qui avait déployé Antigena Email a récemment été prise pour cible par une série de 10 e-mails trompeurs prétendant provenir de la Small Business Administration (SBA) américaine au sujet des aides accordées aux entreprises dans le cadre de la crise du COVID-19.

On remarque que le domaine de l’expéditeur s’affiche bien en tant que sba.gov, comme il le ferait dans le client de messagerie du destinataire. Cet artifice est rendu possible par des vulnérabilités bien connues inhérentes au protocole Simple Mail Transfer Protocol (SMTP). En réalité, l’e-mail provenait d’un serveur de messagerie situé au Japon, et le lien dirigeait les utilisateurs vers un domaine brésilien compromis qui n’entretient aucun lien avec la SBA.

Figure 2 : La fausse page de connexion

La capture d’écran ci-dessus montre la fausse page de connexion vers laquelle les utilisateurs sont redirigés en cliquant sur le lien. Cette page utilise le logo de la SBA et présente la même mise en page et le même style que les pages légitimes du véritable site Web de la SBA, comme la page « mot de passe oublié » ci-dessous.

Figure 3 : Capture d’écran du site Web légitime de la SBA

Ce client Darktrace était une petite entreprise qui aurait pu prétendre à certaines aides de l’agence en question. Si cela avait été le cas, il aurait très bien pu être victime de cette attaque particulièrement nocive, ciblant des entreprises déjà en difficulté. Cette attaque montre que les cybercriminels continuent de faire preuve de créativité et d’opportunisme dans leurs méthodes d’ingénierie sociale, et que rien ne les arrête dans la poursuite de leurs objectifs.

Antigena Email s’installe en aval des passerelles. Comme c’est le cas pour toutes les autres menaces qu’il détecte et neutralise, cet e-mail est passé au travers des outils de sécurité intégrés du fournisseur de messagerie et autres outils de passerelle en place. L’IA de Darktrace a identifié le lien rare en s’appuyant sur sa compréhension des modèles de communication normaux pour l’entreprise. Elle a reconnu qu’il s’agissait d’une tentative d’escroquerie et a empêché ce message d’atteindre la boîte de réception, évitant ainsi à cette entreprise vulnérable de subir des dégâts supplémentaires.

Pour lire une analyse de 13 autres attaques par e-mail, lisez le Rapport sur les menaces et la sécurité e-mail 2020

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.