Technologie
Produits
Secteurs
Actualités
Ressources
Entreprise
Français
Technologie
Produits
Secteurs
Actualités
Blog
Ressources
Entreprise

Identification d’une menace par e-mail par Darktrace : attaque par usurpation d’identité d’un membre du conseil d’administration visant un compte Gmail

Mariana Pereira, Director of Email Security Products

La messagerie et les autres plateformes de communication s’appuient sur un postulat de confiance qui fait aujourd’hui l’objet de toutes les attentions, au vu de l’utilisation accrue des plateformes de communication pendant la crise sanitaire. L’efficacité des e-mails dépend entièrement de la confiance qu’accordent les employés à la source des demandes et des informations qui arrivent chaque jour dans leur boîte de réception. C’est particulièrement le cas quand ces e-mails proviennent d’une entité connue, comme un fournisseur de confiance, un conseiller, un partenaire ou un cadre dirigeant, même s’il ne s’agit pas d’un correspondant fréquent.

C’est précisément pour cette raison que les attaques par usurpation d’identité sont si dangereuses. De plus, leur taux de réussite attire de plus en plus les cybercriminels. Récemment, Darktrace a observé trois attaques par e-mail ciblant des individus à profil élevé au sein d’une organisation de services financiers. Les messages étaient envoyés à partir de trois comptes de messagerie différents usurpant l’identité du directeur général, du directeur financier et d’un membre du conseil d’administration.

Il n’est pas rare que les membres du conseil d’administration envoient des e-mails à partir d’adresses externes à l’entreprise où ils siègent. Un investisseur peut décider d’utiliser le compte de sa propre société, ou même un compte de messagerie personnel. Bon nombre d’entreprises présentent publiquement sur leur site Web une biographie des membres de leur conseil d’administration, en incluant des références à d’autres activités de ces derniers. Ces références fournissent des informations pertinentes facilement accessibles aux pirates potentiels. Pour ces raisons, les attaques par usurpation d’identité sont à la fois extrêmement personnalisées et très efficaces.

Les attaques par phishing passées à travers les mailles du filet

Cette attaque a été détectée dans l’environnement Gmail d’un client Antigena Email. Au cours d’une seule semaine, trois e-mails malveillants ont contourné les outils de sécurité de la messagerie existants pour demander des informations sensibles à trois cadres supérieurs de l’entreprise. Chaque message a été envoyé à une date différente, à une heure différente et à partir d’une adresse différente. Toutefois, l’adresse ASN a révélé que ces trois e-mails provenaient vraisemblablement de la même source. Ces données suggèrent que ces trois e-mails ont été envoyés par le même attaquant, qui essayait de se faire passer pour certains utilisateurs clés afin d’accéder à des informations stratégiques de l’entreprise.

Figure 1 : Aperçu des trois e-mails anormaux identifiés au cours de la même semaine

Lorsqu’on examine l’e-mail le plus récent, on peut voir l’analyse de la menace réalisée par Antigena Email. Cet e-mail s’avère être une attaque par spoofing ciblée ou une demande d’informations imitant un des membres du conseil d’administration et ciblant un cadre supérieur du service financier.

On observe un score d’anomalie de 86 % attribué par Antigena Email, qui a compris que cet e-mail était particulièrement inhabituel. Les balises résument les conclusions principales : l’e-mail contenait des signes de sollicitation, mais ne contenait pas de pièces jointes ni de liens. Cette méthode est fréquemment utilisée pour les attaquants pour contourner les outils de sécurité traditionnels, qui s’appuient sur des listes d’accès/refus, d’attaques connues, de règles et de signatures pour détecter et stopper les attaques par e-mail. En l’absence de lien malveillant pouvant être détecté par les outils traditionnels, ces attaques sont facilement passées au travers des mailles du filet de protection en place.

86%
Fri Jul 03 2020, 17:24:05
From:David Smith <[email protected]>
Recipient:Vanessa Milanez <[email protected]>
[no subject]
Email Tags
Solicitation
No Association
Freemail
New Contact
Actions on Email
Move to Junk

Figure 2 : Les balises et actions associées à l’un des e-mails frauduleux

Interception des attaques subtiles et furtives grâce à l’IA

Il s’agissait clairement d’une attaque bien préparée. La variété des expéditeurs, les disparités de contenu et les intervalles de temps entre les messages suggèrent que cette attaque avait été préparée par un attaquant qui prenait son temps. Plutôt que d’envoyer des milliers de messages en espérant qu’une ou deux personnes répondent, le cybercriminel a pris le temps d’étudier l’entreprise, de confectionner des messages bien rédigés et très personnalisés pour tenter d’infiltrer le système.

Le pirate estimait probablement que cette approche lente et furtive obtiendrait de meilleurs résultats, en ciblant uniquement ses attaques vers des individus à haut profil. En réalité, si la technologie auto-apprenante de protection de la messagerie de Darktrace n’avait pas analysé chaque e-mail en temps réel, cette approche aurait bien pu réussir.

En effet, ces e-mails bien documentés et rédigés avec attention auraient été presque impossibles à détecter par une équipe de sécurité uniquement équipée d’outils de sécurité traditionnels. Heureusement, en déployant sur tout leur système de messagerie la cyber IA, qui apprend les modèles de communication et les comportements normaux de chaque employé, les entreprises peuvent détecter et bloquer ces attaques furtives qui se dissimulent souvent dans le bruit des communications par e-mail.

Pour lire une analyse de 13 autres attaques par e-mail, lisez le Rapport sur les menaces et la sécurité e-mail 2020

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.