L'année dernière, les cybercriminels ont dérobé 2,3 millions de dollars à la ville de Peterborough, New Hampshire par le biais d'attaques véhiculées par e-mail. Pire encore, les pertes sont attribuées à deux attaques distinctes lancées par le même groupe criminel. Le service financier de Peterborough aurait donc pu minimiser les dégâts s'il s'était aperçu plus tôt des anomalies.
Il existe toutefois une raison pour laquelle le service financier n'a pas remis ces messages en question. Non seulement les e-mails passaient outre les filtres, mais ils apparaissaient également comme des messages tout à fait légitimes. Ils étaient ainsi dépourvus des erreurs associées aux e-mails malveillants, comme les fautes de grammaire, l'envoi par un expéditeur inconnu ou la présence de liens suspects. Grâce à quelques messages stratégiquement placés, les acteurs malveillants se sont fait passer avec succès pour une circonscription scolaire, puis une entreprise de bâtiment, avant de détourner des millions en fonds municipaux vers leurs propres comptes.
Le service financier de Peterborough s'est ainsi fait prendre au piège d'une escroquerie hautement ciblée et difficile à détecter nommée compromission du courrier électronique professionnel (Business Email Compromise, BEC).
La technique de phishing mise en œuvre dans les attaques BEC ne s'appuie pas sur des liens ou des logiciels malveillants. Ces attaques se composent souvent d'un ou deux e-mails dans lesquels l'auteur se fait passer pour une entité connue et de confiance (fournisseur, collaborateur, etc.) afin d'amener le destinataire à envoyer des fonds vers un compte contrôlé par le cybercriminel.
En raison de sa nature ciblée, l'attaque BEC n'est pas le type d'attaque par e-mail le plus courant, mais l'un de ceux qui peut s'avérer les plus dévastateurs. Sur un échantillon de 31 millions de menaces véhiculées par e-mail, Cloudflare a constaté que les BEC totalisaient le plus faible volume sur l'ensemble des attaques (1,34 %), mais qu'elles représentaient environ 354 millions de dollars de pertes, avec des pertes individuelles estimées en moyenne à 1,5 million chacune.
Tandis que les acteurs malveillants se montrent sans cesse plus aptes à exploiter la confiance, les solutions traditionnelles de sécurité des e-mails se révèlent inefficaces pour bloquer les attaques BEC. Les entreprises ont ainsi besoin de stratégies modernes et proactives pour se protéger, elles-mêmes et leurs collaborateurs. L'identification préventive et la neutralisation de l'infrastructure des acteurs malveillants peuvent, par exemple, bloquer les attaques BEC avant qu'elles ne frappent. L'analyse contextuelle peut également temps marquer les messages qui contournent les filtres ou proviennent de comptes internes compromis. La modernisation de la sécurité du courrier à l'aide de ce type de stratégie peut protéger les entreprises contre ces attaques coûteuses.
Les stratégies traditionnelles de sécurité des e-mails n'ont pas été conçues pour traiter les attaques BEC et laissent, en définitive, les entreprises vulnérables. Ces techniques comprennent :
Les filtres intégrés et les passerelles e-mail sécurisées (SEG) : les fonctionnalités de filtrage proposées par les fournisseurs (comme Microsoft ou Google) sont plus adaptées à l'identification du courrier indésirable qu'à celle des tentatives de BEC. Les passerelles e-mail sécurisées (Secure Email Gateways, SEG) filtrent les e-mails suspects, mais ont du mal à identifier les attaques BEC. En outre, elles se recoupent fortement avec les fonctionnalités intégrées aux e-mails (un aspect qui les rend pour le moins redondantes).
L'authentification des e-mails : la configuration d'enregistrements SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication Reporting and Conformance) peut contribuer à prévenir l'usurpation d'e-mails. Ces mesures ne fonctionnent toutefois pas contre les e-mails provenant de comptes légitimes, un scénario fréquent dans les attaques BEC.
La vigilance des collaborateurs : Cloudflare a constaté que 92 % des e-mails signalés par les utilisateurs n'étaient pas jugés malveillants. Ce volume élevé de faux positifs entraîne un phénomène de fatigue vis-à-vis des alertes de sécurité.
Les détails concernant les attaques BEC et les dégâts qu'elles provoquent varient selon le type, mais toutes ces attaques reposent sur l'exploitation de la confiance :
Usurpation de l'identité d'un domaine ou d'un expéditeur dirigeant : ces e-mails utilisent l'identité d'un cadre dirigeant comme piège. L'acteur malveillant usurpe ainsi le nom de ce dernier et/ou le domaine de l'entreprise cible. En se faisant passer pour le dirigeant, l'auteur de l'attaque demande ensuite à un collaborateur de procéder à une transaction financière, comme un transfert de fonds ou l'achat de cartes cadeaux.
Compromission du compte d'un collaborateur : étape supplémentaire sur le chemin de la sophistication, ce type d'usurpation de compte interne utilise le compte compromis d'un collaborateur en tant que point d'entrée. En prenant le contrôle du compte d'un véritable collaborateur (en général, à l'aide d'identifiants dérobés), l'acteur malveillant se fait passer pour ce dernier et demande à un collègue (la victime) de l'aider à réaliser une transaction financière.
Usurpation de l'identité d'un fournisseur/prestataire : dans cette attaque, un cybercriminel se fait passer pour un fournisseur ou un prestataire disposant d'une relation existante avec l'entreprise cible. Comme l'expéditeur usurpé n'appartient pas à l'entreprise, les victimes peu méfiantes peuvent ne pas remarquer les signaux précurseurs.
Fournisseur compromis/prestataire infiltré : il s'agit du type d'attaque BEC le plus avancé. Son exécution peut demander plusieurs mois. Ces attaques compromettent tout d'abord un partenaire ou un fournisseur sur la chaîne d'approvisionnement (supply chain) via la prise de contrôle d'un ou de plusieurs comptes e-mail. L'acteur malveillant observe silencieusement les fils d'e-mails légitimes, avant de s'infiltrer au sein de la conversation au bon moment et d'y glisser des requêtes de paiement vers un compte contrôle par le pirate. Dans certaines de ces attaques sur la chaîne d'approvisionnement, la victime pourrait même ne pas remarquer que l'entreprise a subi des pertes financières avant le prochain audit.
Tous ces types d'attaques peuvent partager certaines caractéristiques, comme l'ingénierie sociale et la création d'un sentiment d'urgence. Les acteurs malveillants manipulent le destinataire afin de l'amener non seulement à leur faire confiance, mais aussi à agir rapidement, avant d'éveiller ses soupçons. Ils communiquent souvent au destinataire diverses raisons pour lesquelles ce dernier ne devrait pas poser de questions de suivi avant d'avoir achevé la tâche demandée. Un e-mail censément envoyé par le CEO dans le cadre d'une attaque pourrait, par exemple, indiquer que celui-ci vient de sauter dans un avion et sera donc indisponible pendant quelques heures.
Afin de compliquer davantage l'opération, ces attaques hautement ciblées et reposant sur de faibles volumes contournent souvent les filtres d'e-mails, qui se fondent sur d'importants volumes d'attaque pour agréger les données. Pour que les politiques en matière de menaces fonctionnent, les filtres d'e-mails ont besoin que ces données « apprennent » que certains éléments, comme le domaine, l'adresse IP et la présence de logiciels malveillants, doivent être considérés comme suspects. Si ces fonctionnalités aident à filtrer le courrier indésirable traditionnel, elles se révèlent insuffisantes contre la précision des attaques BEC. Les acteurs malveillants peuvent créer de nouvelles adresses e-mail, usurper des domaines ou prendre le contrôle de comptes e-mail légitimes. Il est d'ailleurs peu probable que les fonctionnalités de sécurité intégrées aux e-mails détectent ces actions.
Afin de combattre efficacement les attaques BEC, les entreprises doivent façonner leurs stratégies autour des principes suivants :
Une défense proactive : plutôt que d'attendre que les e-mails malveillants arrivent dans la boîte de réception d'un collaborateur, vous pouvez sonder le réseau Internet à la recherche d'infrastructures de pirates (comme de nouvelles adresses e-mail ou des domaines frauduleux) à l'aide d'une technologie prédictive, avant de bloquer ces expéditeurs de manière préventive. Cette approche peut réduire le risque d'interaction d'un collaborateur avec un e-mail envoyé par un acteur malveillant, avant la détection du courrier incriminé.
Analyse contextuelle : les technologies de traitement automatique du langage naturel (Natural Language Processing, NLP) peuvent analyser le sentiment d'un message. Cette opération peut ainsi aider à identifier le langage « urgent ». Les technologies d'interprétation de données visuelles peuvent également repérer les sites web de phishing qui soutiennent souvent les attaques. Les autres solutions disponibles comprennent l'analyse des fils (une opération qui peut s'avérer utile lorsque des pirates s'immiscent au sein d'un fil existant) et l'analyse du profil de l'expéditeur (afin de déterminer les risques posés par ces derniers).
Protection continue : le filtrage des messages à la réception n'est pas suffisant, notamment du fait que certains e-mails réussiront inévitablement à contourner les filtres. De même, les e-mails malveillants ne représentent souvent qu'un rouage d'une attaque plus vaste. Une protection qui dépasse le simple cadre de la boîte de réception s'avère donc importante. Ainsi, si un e-mail malveillant parvenait à échapper aux filtres et qu'un collaborateur cliquait sur un lien suspect contenu dans le message, la page web pourrait être chargée au sein d'un navigateur distant isolé, afin de protéger le collaborateur et son appareil. Ce type de protection continue se révèle nécessaire pour appliquer des stratégies de sécurité plus globales, comme le Zero Trust.
Déploiement multimodes : certaines solutions de sécurité des e-mails, telles que les SEG, doivent être déployées en interne. Cela implique donc de modifier l'enregistrement d'échange de courrier (un enregistrement DNS qui dirige les e-mails vers les serveurs mail). Cette méthode fonctionne mieux pour les e-mails externes, car la solution se situe en amont de la boîte de réception du collaborateur et inspecte tous les e-mails, entrants et sortants. Les solutions déployées par API s'avèrent généralement plus rapides à configurer. Cependant, le choix de ne s'appuyer que sur des API présente le désavantage de ne pas prévenir les attaques et donne ainsi lieu à la possibilité qu'un collaborateur interagisse avec un e-mail avant que ce dernier ne soit neutralisé. Le déploiement multimodes (c'est-à-dire, capable de prendre en charge le déploiement en interne ou le déploiement par API) convient mieux, car il peut protéger les équipes contre les menaces internes et externes, ainsi que contre les messages, avant et après la distribution).
Pérennisation et automatisation : mettez-vous en quête de solutions qui ne reposent pas sur des équipements physiques (susceptibles de nécessiter un entretien coûteux ou de vieillir au fil du temps), qui traitent les rapports d'incident de manière automatisée (afin de libérer du temps pour les équipes de sécurité) et qui n'impliquent pas de phase notable de création manuelle des politiques de gestion des menaces (un processus susceptible de ralentir la protection et de ne jamais prendre totalement en compte l'intégralité des menaces possibles).
Une stratégie de sécurité des e-mails moderne et bâtie autour de ces principes fournira une protection complète contre les attaques BEC et les autres formes de phishing à toutes les étapes du cycle d'attaque, afin de mieux sécuriser vos ressources organisationnelles et vos données.
Cloudflare propose une solution de sécurité des e-mails cloud-native qui identifie de manière proactive l'infrastructure des pirates, tout en assurant une protection continue contre les attaques BEC et les autres formes d'attaques véhiculées par e-mail.
Dans le cadre de la plateforme Cloudflare Zero Trust (qui sécurise les applications et l'activité de navigation de vos collaborateurs afin de bloquer les logiciels malveillants, le phishing et les pertes de données), l'intégration d'une solution de sécurité des e-mails aux services Zero Trust élimine la confiance implicite accordée au courrier électronique, afin d'aider les clients à arrêter les attaques BEC et les tentatives de phishing.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article vous permettra de mieux comprendre les points suivants :
Les forces à l'œuvre derrière la hausse des attaques BEC
Les éléments qui différencient les attaques BEC du courrier indésirable
Les raisons pour lesquelles les stratégies traditionnelles de sécurité des e-mails ne fonctionnent pas contre les attaques BEC
La procédure à suivre pour moderniser vos stratégies de sécurité des e-mails et prévenir les attaques BEC
Webinaire : étendre le Zero Trust grâce à la sécurité des e-mails
Fiche technique : la solution Cloudflare de sécurité des e-mails
Apprenez-en davantage sur la création d'une approche proactive en matière de sécurité des e-mails grâce à Cloudflare.