La compromission du courrier électronique professionnel (BEC) est une attaque d'ingénierie sociale par courrier électronique qui vise à escroquer ses victimes. Les campagnes d'attaque BEC contournent souvent les filtres de messagerie traditionnels.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que la sécurité des e-mails ?
Prévenir le phishing
Usurpation d'adresse e-mail
Comment bloquer le courrier indésirable ?
Qu'est-ce que le SMTP ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
La compromission des courriels professionnels (BEC) est un type d'attaque d'ingénierie sociale qui se déroule par e-mail. Dans une attaque BEC, un attaquant falsifie un message électronique pour inciter la victime à effectuer une action, le plus souvent un transfert d'argent vers un compte ou un lieu contrôlé par l'attaquant. Les attaques BEC diffèrent des autres types d'attaques par courrier électronique sur quelques points essentiels :
Les attaques BEC sont particulièrement dangereuses car elles ne contiennent pas de logiciels malveillants, de liens malveillants, de pièces jointes dangereuses ou d'autres éléments qu'un filtre de sécurité du courrier électronique pourrait identifier. Les courriels utilisés dans une attaque BEC ne contiennent généralement que du texte, ce qui permet aux attaquants de les camoufler dans le trafic normal des courriels.
Outre le fait qu'ils contournent les filtres de sécurité des courriels, les courriels BEC sont spécifiquement conçus pour inciter le destinataire à les ouvrir et à agir en fonction du message qu'ils contiennent. Les attaquants utilisent la personnalisation pour adapter l'e-mail à l'organisation ciblée. L'attaquant peut se faire passer pour une personne avec laquelle la victime visée correspond régulièrement par courrier électronique. Certaines attaques BEC ont même lieu au milieu d'un fil de discussion déjà existant.
En général, l'attaquant se fait passer pour une personne haut placée dans l'organisation pour inciter la victime à exécuter la demande malveillante.
Voici d'autres raisons pour lesquelles les attaques BEC sont difficiles à identifier :
En général, les courriels BEC contiennent quelques lignes de texte et ne comportent pas de liens, de pièces jointes ou d'images. Dans ces quelques lignes, ils visent à amener la cible à effectuer l'action qu'ils désirent, qu'il s'agisse de transférer des fonds sur un compte spécifique ou d'accorder un accès non autorisé à des données ou des systèmes protégés.
D'autres éléments communs d'un courriel BEC peuvent inclure :
Une passerelle de messagerie sécurisée est un service de sécurité des e-mails mis en œuvre entre les fournisseurs de messagerie et les utilisateurs. Elle permet d'identifier et de filtrer les e-mails potentiellement malveillants, de la même manière qu'un pare-feu supprime le trafic réseau malveillant. Les passerelles de messagerie sécurisée fournissent une protection supplémentaire, qui vient s'ajouter aux mesures de sécurité intégrées que proposent déjà la plupart des fournisseurs de messagerie (Gmail et Microsoft Outlook, par exemple, ont déjà mis en place des protections de base).
Cependant, les SEG traditionnels ont du mal à détecter les campagnes BEC bien construites pour les raisons décrites ci-dessus : faible volume, absence de contenu manifestement malveillant, source apparemment légitime du courrier électronique, etc.
C'est pourquoi la formation des utilisateurs et les mesures supplémentaires de sécurité des courriels sont très importantes pour contrecarrer la compromission des courriels d'entreprise.
Les demandes inhabituelles, inattendues ou soudaines sont le signe d'une attaque potentielle de BEC. Les utilisateurs doivent signaler les messages de BEC potentiels aux équipes d'opérations de sécurité. Ils peuvent également vérifier auprès de la source présumée de l'e-mail.
Imaginons que le comptable Bob reçoive un courriel du directeur financier Alice :
Bob,
Je dois envoyer à un client des cartes-cadeaux pour sa pizzeria préférée. Veuillez acheter 10 000 $ de cartes-cadeaux de pizza et les transférer à l'adresse électronique de ce client : customer@example.com.
Faites-le rapidement. Le temps est TRÈS important. Nous ne voulons pas perdre ce client.
Je monte dans un avion et je serai hors de portée pendant les prochaines heures.
-Alice
Cette demande semble inhabituelle à Bob : la livraison de cartes-cadeaux de pizzas aux clients n'est généralement pas du ressort du service comptable. Il appelle Alice, au cas où elle n'aurait pas encore « embarqué dans un avion ». Elle décroche le téléphone et n'est pas au courant de la demande qu'elle vient soi-disant de lui envoyer. Elle n'est pas non plus en train de prendre l'avion. Bob vient de détecter une attaque BEC.
Certains fournisseurs de services de sécurité du courrier électronique explorent le Web à l'avance pour détecter les serveurs de commande et de contrôle (C&C), les faux sites Web et d'autres éléments que les attaquants utiliseront dans une campagne d'EOC ou une attaque de phishing. Pour ce faire, il est nécessaire d'utiliser des robots d'exploration du Web pour analyser de larges pans d'Internet (les moteurs de recherche utilisent également des robots d'exploration du Web, mais à des fins différentes). Identifier l'infrastructure d'attaque à l'avance permet au fournisseur de bloquer les courriels illégitimes dès leur envoi, même s'ils pourraient autrement passer à travers les filtres de sécurité.
L'apprentissage automatique est un moyen d'automatiser le processus de prédiction des résultats à partir d'un grand ensemble de données. Il peut être utilisé pour détecter des activités inhabituelles. Par exemple, la solution de gestions des bots de Cloudflare utilise l'apprentissage automatique comme méthode pour identifier l'activité des bots. Pour stopper les attaques BEC, l'apprentissage automatique peut faciliter l'identification des demandes inhabituelles, les modèles de trafic de courrier électronique atypiques et d'autres anomalies.
Étant donné que les auteurs d'attaques BEC essaient souvent de répondre à un fil de discussion existant pour ajouter de la légitimité à leurs courriels, certains fournisseurs de services de sécurité des courriels surveillent les fils de discussion pour voir si les courriels « de » ou « à » dans un fil de discussion sont modifiés soudainement.
Cela signifie qu'il faut rechercher des expressions clés dans les courriers électroniques pour savoir sur quels sujets un ensemble donné de contacts électroniques correspond généralement. Par exemple, il pourrait être possible de savoir avec qui une personne donnée d'une organisation correspond sur les transferts d'argent, les relations avec les clients ou tout autre sujet. Si les courriels reçus par Bob (dans l'exemple ci-dessus) traitent rarement des relations avec les clients, l'inclusion de phrases telles que « un client » et « perdre ce client » dans l'e-mail de « Alice » pourrait indiquer que l'e-mail fait partie d'une attaque BEC.
Cloudflare Area 1 Email Security est conçu pour attraper les attaques BEC que la plupart des SEG ne peuvent pas détecter. Pour ce faire, il utilise un grand nombre des méthodes décrites ci-dessus : exploration d'Internet à la recherche d'infrastructures d'attaque, utilisation d'une analyse d'apprentissage automatique, analyse des fils de discussion des courriels, analyse du contenu des courriels, etc.
Le courrier électronique reste l'un des plus grands vecteurs d'attaque , ce qui rend la sécurité du courrier électronique encore plus cruciale pour les organisations aujourd'hui. En savoir plus sur le fonctionnement de Cloudflare Area 1 Email Security.