Technologie
Produits
Ressources
Entreprise
Français
Technologie
Produits
Blog
Ressources
Entreprise

Identification d’une menace par e-mail par Darktrace : une usurpation d’identité chez Siemens coûte 60 000 $ à un établissement d’enseignement

Dan Fein, Director of Email Security Products

Introduction

De nombreuses organisations se tournent vers l’IA pour améliorer la protection de leur système de messagerie, mais la prise de conscience intervient généralement après avoir subi des dégâts importants. C’est ce qui s’est produit récemment au sein d’un établissement d’enseignement de la région APAC. À l’époque, cette organisation se sentait entièrement protégée, grâce à ses outils de protection contre les spams, de protection des URL et sa solution complète présente sur toute la messagerie. Pourtant, ses administrateurs s’intéressaient à la cyber IA pour la protection de la boîte de réception, et avaient planifié un entretien pour en savoir plus.

Deux jours avant ce rendez-vous, l’établissement a été victime d’une attaque BEC (Business Email Compromise). Un pirate avait pris le contrôle d’un compte Microsoft 365 interne et envoyé une fausse facture au service comptable de l’organisation. La facture, dont les coordonnées bancaires avaient été subtilement modifiées, prétendait venir de Siemens, leader mondial des technologies d’automatisation. Siemens étant un fournisseur de confiance, l’attaque a réussi, et l’établissement a versé à son insu plus de 60 000 $ sur le compte bancaire d’un cybercriminel.

Cet incident a fait prendre conscience aux administrateurs non seulement de l’envergure et de la gravité des attaques par e-mail, mais aussi des limites de leurs outils de sécurité existants. L’équipe de sécurité a rapidement déployé Antigena Email. Elle a pu immédiatement constater la capacité de l’IA à neutraliser les attaques sophistiquées qui échappent aux autres outils lorsque, la semaine suivante, le criminel a effectué une nouvelle tentative d’escroquerie.

Cette fois-ci, avec l’IA en place, le comportement inhabituel du compte SaaS compromis et l’activité e-mail suspecte ont déclenché des alertes sur plusieurs modèles Darktrace. Résultat, un score d’anomalie de 73 % et la décision autonome de bloquer l’e-mail problématique. L’illustration ci-dessous présente la chronologie de cette attaque, et la façon dont Darktrace a identifié une attaque là où les autres outils de sécurité avaient échoué.

Patient Zéro : la faille initiale

Darktrace a d’abord détecté qu’il y avait un problème au niveau d’une connexion à un SaaS, qui était effectuée à partir d’une adresse IP inhabituelle, située aux Émirats arabes unis.

Mar 21 avril 04:15:40 (heure locale)

La solution a ensuite remarqué un comportement généralement associé aux attaques de type BEC, à savoir la création d’une règle de traitement dans la boîte de réception permettant de supprimer les e-mails entrants pour les rediriger vers le pirate.

Mar 21 avril 05:04:21

Mer 22 avril 16:51:14

Figure 1 : Darktrace détectant la règle anormale de traitement des messages, indiquant une activité anormale à 97-100 %

Cette faille initiale a entraîné une campagne d’hameçonnage extrêmement ciblée. L’attaquant a trouvé une chaîne de messages authentiques relatifs à une facture provenant du domaine siemens.com. En utilisant la réputation de ce fournisseur de confiance, il a copié le format exact de la facture et a créé le faux domaine « siemesm.com », dans le but d’envoyer une nouvelle facture au service comptable de l’organisation. Sur cette facture, un seul petit détail avait changé : les coordonnées bancaires.

Le pirate a pris ses précautions. Avant de lancer l’attaque, il a envoyé un e-mail de test au compte compromis pour vérifier qu’il arrivait bien à destination. Comme illustré ci-dessous, cette action a alerté Antigena Email, qui lui a attribué un score d’anomalie de 38 %.

La fausse facture

Le lendemain matin, le pirate a créé une fausse correspondance entre le nouveau compte et le Patient Zéro, avant d’intégrer le service comptable à la conversation avec une nouvelle requête, demandant de régler une facture de 78 000 $. Là encore, l’échange semblait légitime : il avait eu lieu entre un fournisseur de confiance bien établi et un collègue de confiance qui approuvait le paiement.

Figure 2 : Antigena Email a détecté les e-mails anormaux. L’icône rouge indique que la solution a empêché les e-mails de parvenir au destinataire

Ici, nous voyons qu’Antigena Email a renforcé ses soupçons sur ce comportement inhabituel au fil du temps. L’icône rouge indique que la solution a empêché la distribution des deux e-mails suspects. Le score d’anomalie élevé a été influencé par deux choses : l’absence de correspondance préalable entre les deux utilisateurs de la messagerie, mais aussi la création de règles de messagerie sur le même compte la veille. De plus, la cyber IA a identifié l’e-mail comme une fausse réponse : il ne s’agissait pas d’une réponse directe à l’e-mail, mais d’une tentative d’imiter une correspondance en copiant-collant les messages d’une autre chaîne de messages.

Le pirate a constaté que sa première attaque avait échoué. Il a alors utilisé une technique nommée « attaque par rebonds » (ou « island hopping ») pour acquérir la liste de contacts de toute l’entreprise afin de lancer une campagne de phishing plus générique vers des dizaines d’utilisateurs de la messagerie dans toute l’entreprise, dans le but vraisemblable de compromettre leur compte.

Figure 3 : Quelques e-mails envoyés à partir du compte compromis

Une fois encore, Antigena Email a estimé que chacun de ces e-mails était 100 % anormal et les a systématiquement bloqués.

Il s’agissait là d’une attaque relativement sophistiquée comprenant plusieurs étapes, mais les techniques décrites ci-dessus n’ont rien d’exceptionnel : Antigena Email stoppe ce type d’attaque tous les jours, dans des centaines d’organisations du monde entier.

En déployant la cyber IA dans leur environnement de messagerie, les utilisateurs disposent non seulement d’une visibilité inégalée sur leurs flux de messagerie entrants et sortants, mais aussi de la capacité de bloquer les attaques ciblées et sophistiquées, bien avant qu’elles ne se transforment en crise.

En savoir plus sur Antigena Email

Dan Fein

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.