Technologie
Produits
Secteurs
Actualités
Ressources
Entreprise
Français
Technologie
Produits
Secteurs
Actualités
Blog
Ressources
Entreprise

Fraude dans la supply-chain : Darktrace détecte une faille dans les e-mails d’un fournisseur

Dan Fein, Director of Email Security Products

Le piratage de compte dans la chaîne logistique (« Vendor Email Compromise », faille dans la messagerie d’un fournisseur) représente actuellement le problème le plus urgent en matière de sécurité des e-mails. On a récemment constaté une vague d’attaques provenant de la chaîne logistique et ciblant des profils de premier plan. Puisque les cybercriminels connaissent un taux de réussite constant en utilisant ces méthodes, cette tendance ne devrait pas ralentir en 2021. Les outils de sécurité traditionnels s’avèrent impuissants face à ces attaques : comme les e-mails malveillants proviennent de partenaires et de fournisseurs de confiance, la passerelle les laisse passer.

Récemment, la cyberattaque SolarWinds a montré à quel point une faille dans la chaîne logistique pouvait être dévastatrice. Les partenariats commerciaux sont aujourd’hui particulièrement complexes, ce qui signifie qu’une simple faille peut affecter des dizaines d’organisations à tous les niveaux d’une chaîne logistique globale, des petites entreprises aux services administratifs.

Cet article examine le cas d’un fournisseur tiers compromis qui a envoyé des e-mails malveillants à une entreprise qui effectuait un essai d’Antigena Email. Même si les e-mails provenaient d’une source de confiance, la technologie d’IA a identifié un changement de comportement : les e-mails étaient anormaux par rapport aux habitudes de l’expéditeur. Lorsque le contact s’est aperçu que son compte avait été compromis et l’a signalé par e-mail à ses contacts réguliers, Antigena a confirmé que ces e-mails étaient bénins. Mais lorsque le pirate a continué d’envoyer des e-mails malveillants par l’intermédiaire de ce même compte, ces e-mails dangereux, qui avaient échappé aux autres outils de sécurité de l’entreprise, ont été suspendus par Darktrace.

Attaque de la chaîne logistique

Plantons le décor. L’entreprise en question est l’un des plus grands fournisseurs de boissons au monde, et compte environ 15 000 utilisateurs de la messagerie à elle seule. Elle dispose d’une vaste chaîne logistique internationale regroupant de nombreux partenaires et fournisseurs de confiance. Lorsque l’une de ces tierces parties a été compromise, les criminels ont envoyé des e-mails de phishing dans toute la chaîne logistique pour tenter de compromettre autant d’organisations que possible. Notre producteur de boissons faisait partie des cibles principales.

La relation de confiance avec le tiers se voit dans les balises de messagerie de Darktrace, qui étaient appliquées aux e-mails précédemment envoyés par ce fournisseur.

Thu Mar 11 2021, 18:50:12
Re: Drinking Vendors
Alessandro Langedijk <[email protected]>
George Torde <[email protected]>
0%
Processed (unread)
Active Conversation
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History

Figure 1 : Aperçu interactif de l’interface d’Antigena Email

Peu de temps après l’arrivée de cet e-mail légitime, une vague de nouveaux e-mails a été envoyée depuis ce même compte. En utilisant ce trafic authentique à son avantage, le pirate a réussi à échapper aux autres outils et à se fondre dans les communications légitimes. Dans les attaques de la chaîne logistique, cette technique de camouflage est essentielle à la réussite du piratage.

Cependant, à cause de légères modifications constatées au niveau du comportement de l’expéditeur par rapport à son historique, Darktrace a réussi à identifier que ce compte avait été compromis, comme le montrent les balises « comportement inhabituel » (Out of Character) et « lien suspect » (Suspicious Link).

Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Held
Out of Character
Suspicious Link
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History
Hold message
Lock all links
Move to Junk
Anomaly Indicators

The anomaly score assigned to this email was unusually high for this organization. They have never previously sent a link to ows.io.

The email contains a highly suspicious link to a host ows.io. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading View Engage Data Source Activity. An inducement score of 76% suggests the sender is trying to induce the user into clicking.

Figure 2 : Aperçu interactif de l’interface d’Antigena Email

L’IA de Darktrace a détecté plusieurs anomalies, notamment :

  • la source de l’e-mail et l’emplacement de connexion du compte ;
  • la nature des liens et leur association avec l’entreprise ;
  • le langage utilisé et l’intention du corps du message.

Ces écarts extrêmement subtils dans les e-mails peuvent uniquement être détectés en utilisant l’approche sophistiquée de Darktrace, basée sur le machine learning non supervisé. En comprenant la façon dont l’utilisateur agit et interagit habituellement avec ses pairs et d’autres organisations, l’IA de Darktrace est capable d’identifier tout comportement anormal indicatif d’un piratage de compte et d’une usurpation d’identité.

Analyse détaillée de l’attaque : mettre en doute les personnes de confiance

Les e-mails reçus contenaient un lien conduisant l’utilisateur vers un site de stockage de fichiers légitime (canva.com), qui était quant à lui utilisé pour héberger un contenu malveillant. Cette tactique est couramment utilisée par les cybercriminels pour contourner les passerelles de sécurité traditionnelles. En effet, ces passerelles sont inefficaces pour se protéger contre les liens de stockage de fichiers malveillants, car elles s’appuient sur des contrôles de réputation, et que les domaines de provenance sont bel et bien légitimes.

Antigena Email, toutefois, a reconnu que cet e-mail était différent, et l’a signalé comme étant 100 % anormal. La figure ci-dessous présente trois des e-mails malveillants, ainsi que les scores qui leur ont été affectés par le machine learning d’Antigena Email. L’e-mail du haut est un message légitime de la part du fournisseur, qui prévient l’entreprise que son compte a été compromis. Même s’il est arrivé peu de temps après les e-mails malveillants, ce message n’a reçu qu’un score de menace de 31 %, sans aucune action particulière recommandée. Cette distinction prouve qu’Antigena Email a la capacité précieuse non seulement de stopper les e-mails malveillants, mais aussi d’identifier précisément les e-mails bénins, ce qui garantit que la solution n’interfère pas avec les communications légitimes.

Wed Mar 17 2021, 16:09:48
Warning: Phishing Mail Active
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
31%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Elizabeth Walton <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
100%

Figure 3 : Antigena Email distingue clairement la communication bénigne des e-mails indésirables

L’action recommandée par Antigena Email était de suspendre totalement les e-mails de la boîte de réception, afin de protéger le destinataire de toute demande ou de toute tentative de déplacer la conversation vers une plateforme moins sécurisée.

Confiance aveugle : la montée en puissance des attaques de la chaîne logistique

Cette année encore, la technique lucrative de la fraude à la chaîne logistique va sans doute continuer d’augmenter. Les cybercriminels cherchent les maillons faibles dans la chaîne logistique et ciblent les partenaires et les fournisseurs afin d’établir une présence dans plusieurs organisations. En fait, il est probable que les attaques de la chaîne logistique vont prendre le dessus sur la fraude au PDG cette année. Là où les dirigeants sont souvent bien protégés par des équipes de sécurité vigilantes, les acteurs tiers constituent une myriade de points d’entrée dans une entreprise. Les équipes de sécurité ne voient pas l’environnement des tierces parties et les passerelles signalent rarement les e-mails provenant de sources de confiance.

Antigena Email est la seule technologie de sécurité des e-mails qui examine chaque e-mail individuellement, dans le contexte global de l’organisation, du destinataire, et des interactions antérieures avec l’expéditeur. Cela lui permet de stopper les e-mails anormaux envoyés dans un but malveillant, quel que soit l’expéditeur.

En savoir plus sur la façon dont la Cyber IA protège la boîte de réception : lire le livre blanc.

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.