Les attaques par usurpation de nom basées sur les e-mails sont une forme évolutive de compromission du courrier électronique professionnel (BEC) qui trompe le destinataire en lui faisant croire que l'e-mail provient d'une source fiable. Chez Cloudflare, nous détectons et retirons chaque jour les attaques par usurpation de nom basées sur des e-mails des boîtes de réception de nos clients. Si la grande majorité d'entre elles relèvent d'escroqueries basiques, consistant par exemple à demander à un employé d'acheter des cartes cadeaux, les attaques plus sophistiquées utilisent de nouvelles façons d'exploiter l'ingénierie sociale et l'OSINT pour créer des e-mails de phishing plus en plus convaincants
Vous avez probablement vu des e-mails de phishing tels que celui illustré ci-dessous. Dans cet exemple, quelqu'un se fait passer pour un employé et demande à ce que ses coordonnées bancaires soient modifiées pour la remise des salaires.
Source de l'image : Cloudflare Email Security
Cette attaque ainsi que d'autres attaques semblables utilisent des informations de base sur les utilisateurs ciblés ; leur nom et leur fonction, recueillies sur LinkedIn ou d'autres plateformes de médias sociaux. Ils sont généralement envoyés en masse à un grand nombre d'entreprises et utilisateurs différents en même temps, ce qui constitue une manière d'attaquer en « ratissant large ».
Une forme plus complexe d'attaque par usurpation de nom concerne une combinaison d'usurpation d'identité de VIP/fournisseur. Dans cet exemple, l'acteur malveillant a enregistré un faux domaine en se faisant passer pour un fournisseur légitime. L'acteur malveillant a également créé une adresse électronique usurpant l'identité d'un VIP de l'entreprise ciblée. L'acteur malveillant crée un faux e-mail provenant du prétendu fournisseur et demandant le règlement d'une facture.
Source de l'image : Cloudflare Email Security
Ceux-ci peuvent être particulièrement dangereux car le fil fabriqué donne de l'autorité à la demande. De manière générale, ces attaques sont plus ciblées que les attaques par envoi massif d'e-mails. L'acteur malveillant a tendance à consacrer plus de temps à faire des recherches sur l'environnement de la cible. Dans le cas d'un compte compromis, les acteurs de la menace peuvent lire les derniers e-mails de la cible et sont mieux équipés que leurs demandes paraissent légitimes. Examinons un exemple encore plus complexe d'usurpation de nom qui utilise de telles tactiques.
Source de l'image : Cloudflare Email Security
Dans cet exemple, l'auteur d'une menace se fait passer pour un employé en utilisant un domaine presque identique au domaine légitime. Il a par ailleurs détourné le fil d'e-mails existant entre les entreprises en compromettant le compte e-mail de l'expéditeur.
Il s'agit d'une forme extrêmement dangereuse et ciblée d'usurpation de nom « la compromission de fournisseur ». Les attaques de cette nature s'appuient sur toutes les tactiques susmentionnées, y compris l'usurpation de l'identité d'un VIP ou d'un fournisseur, et exploitent les informations recueillies à partir d'un compte fournisseur compromis. Dans le cas présenté, le risque monétaire était très élevé pour les clients. Heureusement, le site Cloudflare alerte les clients qui peuvent alors prendre des mesures avant que le mal ne soit fait.
Les attaques par usurpation de nom évoluant sans cesse, il est très important de reconnaître les risques qu'elles présentent pour votre organisation. N'oublions pas que l'e-mail reste le premier vecteur de compromission des entreprises.
La technologie avancée d'apprentissage automatique et d'intelligence artificielle de Cloudflare Email Security découvre en temps réel les nouvelles tactiques utilisées par les acteurs malveillants pour contourner les solutions existantes. Pour en savoir plus sur les tendances récentes et les recommandations visant à empêcher les attaques par phishing d'aboutir, consultez le Rapport sur les menaces de phishing en 2023. Pour voir Cloudflare Email Security en action, obtenez une évaluation gratuite du risque de phishing.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Adam Leverette — @adam-leverette
Threat Response Engineer, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Comment les acteurs malveillants utilisent l'usurpation d'identité pour paraître légitimes
3 types courants d'usurpation d'identité
Pourquoi la sécurité traditionnelle des e-mails ne parvient pas à distinguer ce type d'attaque