Qu'est-ce que la compromission des courriels professionnels (BEC) ?

La compromission du courrier électronique professionnel (BEC) est une attaque d'ingénierie sociale par courrier électronique qui vise à escroquer ses victimes. Les campagnes d'attaque BEC contournent souvent les filtres de messagerie traditionnels.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir la compromission du courrier électronique professionnel (BEC)
  • Énumérez quelques-unes des caractéristiques communes des courriels BEC.
  • Décrire les méthodes permettant d'arrêter les campagnes BEC

Copier le lien de l'article

Qu'est-ce que la compromission des courriels professionnels (BEC) ?

La compromission des courriels professionnels (BEC) est un type d'attaque d'ingénierie sociale qui se déroule par e-mail. Dans une attaque BEC, un attaquant falsifie un message électronique pour inciter la victime à effectuer une action, le plus souvent un transfert d'argent vers un compte ou un lieu contrôlé par l'attaquant. Les attaques BEC diffèrent des autres types d'attaques par courrier électronique sur quelques points essentiels :

  1. Ils ne contiennent pas de logiciels malveillants, de liens malveillants ou de pièces jointes.
  2. Ils ciblent des individus spécifiques au sein des organisations
  3. Ils sont personnalisés en fonction de la victime visée et impliquent souvent des recherches préalables sur l'organisation en question.

Les attaques BEC sont particulièrement dangereuses car elles ne contiennent pas de logiciels malveillants, de liens malveillants, de pièces jointes dangereuses ou d'autres éléments qu'un filtre de sécurité du courrier électronique pourrait identifier. Les courriels utilisés dans une attaque BEC ne contiennent généralement que du texte, ce qui permet aux attaquants de les camoufler dans le trafic normal des courriels.

Outre le fait qu'ils contournent les filtres de sécurité des courriels, les courriels BEC sont spécifiquement conçus pour inciter le destinataire à les ouvrir et à agir en fonction du message qu'ils contiennent. Les attaquants utilisent la personnalisation pour adapter l'e-mail à l'organisation ciblée. L'attaquant peut se faire passer pour une personne avec laquelle la victime visée correspond régulièrement par courrier électronique. Certaines attaques BEC ont même lieu au milieu d'un fil de discussion déjà existant.

En général, l'attaquant se fait passer pour une personne haut placée dans l'organisation pour inciter la victime à exécuter la demande malveillante.

Pourquoi les attaques BEC sont-elles si difficiles à détecter ?

Voici d'autres raisons pour lesquelles les attaques BEC sont difficiles à identifier :

  • Elles sont de faible volume : des pics inhabituels dans le trafic de courrier électronique peuvent alerter les filtres de sécurité du courrier électronique d'une attaque en cours. Mais les attaques de type BEC sont extrêmement peu nombreuses et ne consistent souvent qu'en un ou deux courriers électroniques. Elles peuvent être menées à bien sans générer de pic dans le trafic de courrier électronique. Ce faible volume permet à une campagne BEC de changer régulièrement d'adresse IP source, ce qui rend le blocage de la campagne plus difficile.
  • Elles utilisent une source ou un domaine légitime : les attaques de phishing à grande échelle proviennent souvent d'adresses IP qui sont rapidement bloquées. Les attaques BEC, parce qu'elles sont de faible volume, peuvent utiliser comme source des adresses IP qui ont une réputation neutre ou bonne. Elles utilisent également l'usurpation de domaine pour faire croire que les courriels proviennent d'une personne réelle.
  • Elles peuvent en fait provenir d'un compte de messagerie légitime : les attaques BEC peuvent utiliser une boîte aux lettres électronique préalablement compromise pour envoyer leurs messages malveillants au nom d'une personne à son insu, de sorte que le courrier électronique peut en fait provenir d'une adresse électronique légitime. (Cela demande beaucoup plus d'efforts de la part de l'attaquant, mais une telle dépense d'efforts ciblés est caractéristique des campagnes BEC).
  • Elles passent les contrôles DMARC : Domain-based Message Authentication, Reporting and Conformance (DMARC) est un protocole permettant d'identifier les courriels envoyés depuis un domaine sans autorisation. Il permet d'éviter l'usurpation d'identité d'un domaine. Les campagnes BEC peuvent passer outre DMARC pour plusieurs raisons : 1) les organisations peuvent ne pas avoir configuré DMARC pour bloquer strictement les courriels ; 2) les attaquants peuvent envoyer des courriels à partir d'une source légitime.

Que contiennent généralement les courriels BEC ?

En général, les courriels BEC contiennent quelques lignes de texte et ne comportent pas de liens, de pièces jointes ou d'images. Dans ces quelques lignes, ils visent à amener la cible à effectuer l'action qu'ils désirent, qu'il s'agisse de transférer des fonds sur un compte spécifique ou d'accorder un accès non autorisé à des données ou des systèmes protégés.

D'autres éléments communs d'un courriel BEC peuvent inclure :

  • Sensibilité au facteur temps : Des mots tels que « urgent» , « vite »,  «rapp »,  «important », et « bientôt » apparaissent souvent dans les courriels BEC, en particulier dans la ligne d'objet, pour inciter le destinataire à agir le plus rapidement possible - avant qu'il ne se rende compte qu'il pourrait être la cible d'une escroquerie.
  • Expéditeur autorisé : Les attaquants BEC se font passer pour une personne importante de l'organisation : le directeur financier ou le PDG (CEO), par exemple.
  • Usurpation complète de l'identité de l'expéditeur : Les courriels BEC peuvent usurper l'identité d'expéditeurs légitimes (par exemple, le directeur financier d'une organisation) en usurpant leur adresse électronique, en imitant leur style d'écriture ou en utilisant d'autres tactiques pour tromper leur victime.
  • Motivation de la demande : Parfois, pour ajouter de la légitimité à une demande inhabituelle, un courriel du CEB explique pourquoi l'action est nécessaire. Cela ajoute également un caractère d'urgence à la demande.
  • Instructions spécifiques : Les agresseurs fournissent des instructions claires, comme la destination de l'argent et le montant à envoyer - un montant spécifique a plus de chances de sembler légitime. Les attaquants peuvent inclure ces informations dans l'e-mail initial, ou dans un e-mail de suivi si la victime répond.
  • Instructions de ne pas contacter le prétendu expéditeur : si la victime visée peut joindre la source supposée de l'e-mail BEC par un autre canal de communication, elle peut être en mesure d'identifier l'e-mail comme étant faux. Pour éviter cela, les attaquants demandent souvent à la victime de ne pas contacter l'expéditeur ou de confirmer la demande auprès de quelqu'un d'autre, peut-être au nom de la rapidité.

Les passerelles de messagerie sécurisées (SEG) bloquent-elles les campagnes BEC ?

Une passerelle de courrier électronique sécurisée (SEG) est un service de sécurité du courrier électronique qui se situe entre les fournisseurs de courrier électronique et les utilisateurs. Ils identifient et filtrent les courriels potentiellement malveillants, tout comme un pare-feu supprime le trafic réseau malveillant. Les SEG offrent une protection supplémentaire en plus des mesures de sécurité intégrées que la plupart des fournisseurs de messagerie proposent déjà (Gmail et Microsoft Outlook, par exemple, ont déjà mis en place des protections de base).

Cependant, les SEG traditionnels ont du mal à détecter les campagnes BEC bien construites pour les raisons décrites ci-dessus : faible volume, absence de contenu manifestement malveillant, source apparemment légitime du courrier électronique, etc.

C'est pourquoi la formation des utilisateurs et les mesures supplémentaires de sécurité des courriels sont très importantes pour contrecarrer la compromission des courriels d'entreprise.

Que doivent faire les utilisateurs lorsqu'ils soupçonnent une campagne BEC ?

Les demandes inhabituelles, inattendues ou soudaines sont le signe d'une attaque potentielle de BEC. Les utilisateurs doivent signaler les messages de BEC potentiels aux équipes d'opérations de sécurité. Ils peuvent également vérifier auprès de la source présumée de l'e-mail.

Imaginons que le comptable Bob reçoive un courriel du directeur financier Alice :


Bob,

Je dois envoyer à un client des cartes-cadeaux pour sa pizzeria préférée. Veuillez acheter 10 000 $ de cartes-cadeaux pour pizzas et les transférer à l'adresse électronique de ce client : customer@example.com

Veuillez faire cela rapidement. Le délai est HAUTEMENT critique. Nous ne voulons pas perdre ce client.

Je prends l'avion et je serai hors de portée pendant les prochaines heures.

-Alice

Cette demande semble inhabituelle à Bob : la livraison de cartes-cadeaux de pizzas aux clients n'est généralement pas du ressort du service comptable. Il appelle Alice, au cas où elle n'aurait pas encore « embarqué dans un avion ». Elle décroche le téléphone et n'est pas au courant de la demande qu'elle vient soi-disant de lui envoyer. Elle n'est pas non plus en train de prendre l'avion. Bob vient de détecter une attaque BEC.

Quelles autres mesures techniques permettent de détecter et de bloquer les attaques BEC ?

Détection avancée de l'infrastructure de phishing

Certains fournisseurs de services de sécurité du courrier électronique explorent le Web à l'avance pour détecter les serveurs de commande et de contrôle (C&C), les faux sites Web et d'autres éléments que les attaquants utiliseront dans une campagne d'EOC ou une attaque de phishing. Pour ce faire, il est nécessaire d'utiliser des robots d'exploration du Web pour analyser de larges pans d'Internet (les moteurs de recherche utilisent également des robots d'exploration du Web, mais à des fins différentes). Identifier l'infrastructure d'attaque à l'avance permet au fournisseur de bloquer les courriels illégitimes dès leur envoi, même s'ils pourraient autrement passer à travers les filtres de sécurité.

Analyse par apprentissage automatique

L'apprentissage automatique est un moyen d'automatiser le processus de prédiction des résultats à partir d'un grand ensemble de données. Il peut être utilisé pour détecter des activités inhabituelles. Par exemple, Cloudflare Bot Management utilise l'apprentissage automatique comme méthode pour identifier l'activité des robots. Pour stopper les attaques de BEC, l'apprentissage automatique peut aider à identifier les demandes inhabituelles, les modèles de trafic de courrier électronique atypiques et d'autres anomalies.

Analyse des fils de courriels

Étant donné que les auteurs d'attaques BEC essaient souvent de répondre à un fil de discussion existant pour ajouter de la légitimité à leurs courriels, certains fournisseurs de services de sécurité des courriels surveillent les fils de discussion pour voir si les courriels « de » ou « à » dans un fil de discussion sont modifiés soudainement.

Traitement du langage naturel

Cela signifie qu'il faut rechercher des expressions clés dans les courriers électroniques pour savoir sur quels sujets un ensemble donné de contacts électroniques correspond généralement. Par exemple, il pourrait être possible de savoir avec qui une personne donnée d'une organisation correspond sur les transferts d'argent, les relations avec les clients ou tout autre sujet. Si les courriels reçus par Bob (dans l'exemple ci-dessus) traitent rarement des relations avec les clients, l'inclusion de phrases telles que « un client » et « perdre ce client » dans l'e-mail de « Alice » pourrait indiquer que l'e-mail fait partie d'une attaque BEC.

Comment Cloudflare Area 1 Email Security détecte-t-il les BEC ?

Cloudflare Area 1 Email Security est conçu pour attraper les attaques BEC que la plupart des SEG ne peuvent pas détecter. Pour ce faire, il utilise un grand nombre des méthodes décrites ci-dessus : exploration d'Internet à la recherche d'infrastructures d'attaque, utilisation d'une analyse d'apprentissage automatique, analyse des fils de discussion des courriels, analyse du contenu des courriels, etc.

Le courrier électronique reste l'un des plus grands vecteurs d'attaque , ce qui rend la sécurité du courrier électronique encore plus cruciale pour les organisations aujourd'hui. En savoir plus sur le fonctionnement de Cloudflare Area 1 Email Security.