Académique Documents
Professionnel Documents
Culture Documents
Le phishing est toujours aussi redoutable, car il mêle de plus en plus souvent
des compétences techniques pointues et des connaissances clés de certains
ressorts psychologiques humains. Ce faisant, les attaquants les plus
chevronnés arrivent assez facilement à inciter leurs cibles à ouvrir un email
malveillant avant de les pousser au clic.
Chez Vaadata, nous réalisons régulièrement des campagnes de
phishing dans le cadre d’audits d’ingénierie sociale. Aujourd’hui, nous vous
ouvrons les coulisses de notre métier afin de vous sensibiliser aux risques de
phishing.
Pour ce faire, nous vous présentons dans cet article, le principe du phishing,
les éléments permettant d’identifier un email malveillant ainsi que divers
scénarios d’attaques pour vous aider à mieux les appréhender. Nous
terminerons par les bonnes pratiques et mesures techniques à implémenter
pour contrer les attaques de phishing.
En effet, les attaques par phishing ne se limitent pas aux emails mal rédigés,
qui arrivent bien souvent directement dans nos boîtes de SPAM. Bien au
contraire, le phishing a beaucoup évolué, au point de le rendre indétectable
par un public non sensibilisé voire des connaisseurs.
Pour plus d’informations, vous pouvez consulter notre article dédié : Phishing
: comment se protéger du spoofing d’email ?
Néanmoins, attention ! Il existe des cas pour lesquels le nom de domaine peut
être véritablement usurpé. En d’autres termes, l’émetteur apparait en tout
point (nom et adresse mail) comme étant légitime, alors qu’il s’agit d’une
usurpation d’identité. Bien que cela soit devenu relativement rare du fait de
protections de base mises en place par les services de mails, il faut garder à
l’esprit que cela est possible.
Mais dans tous les cas, si le contenu d’un email demande une action sensible
ou inhabituelle (cliquer sur un lien, saisir un mot de passe, télécharger une
pièce jointe, etc.), il doit alerter. Peu importe l’émetteur (votre manager), si
l’action est sensible, elle ne doit pas être prise à la légère. Dans ce cas, il est
nécessaire de demander une confirmation de l’origine de l’email (par
téléphone, chat, un autre email, etc.), et de la légitimité de l’action demandée.
Le prétexte
Le phishing est une attaque de la famille de l’ingénierie sociale. Cela signifie
qu’elle s’appuie sur une dimension psychologique pour piéger ses victimes.
C’est pourquoi, le prétexte est l’élément central permettant d’amener la cible
à réaliser l’action sensible souhaitée.
Pour ce faire, l’attaquant peut s’appuyer sur différents leviers : la notion
d’urgence, afin d’empêcher la victime de prendre du recul et d’agir de
manière précipitée (« il faut le faire avant la fin de journée » ; la notion
anxiogène de sécurité, qui déclenche là encore des réactions à la fois rapides
et non réfléchies (« Suite à la découverte d’une fuite de données en
provenance de votre compte utilisateur… »).
L’argument peut reposer sur un caractère exceptionnel pour justifier l’action
demandée, sans quoi celle-ci pourrait sembler à la fois inhabituelle et
incongrue.
Pour plus d’informations, vous pouvez consulter notre article dédié : Analyse
d’un phishing : 8 ressorts psychologiques
Les liens
Les liens sont utilisés pour rediriger les utilisateurs vers un site externe. Ne
faites pas confiance a priori à ce site, même s’il ressemble en tout point à une
plateforme qui vous est familière : il peut s’agir d’un clone.
Comme pour l’émetteur, le nom de domaine est un bon indicateur pour
connaître la véritable « identité » du site. Mais comme pour l’émetteur
également, les attaquants peuvent user de stratégies pour tromper les
utilisateurs (nom de domaine proche, utilisation de sous-domaines, etc.).
Pour détailler la mise en place des scénarios, nous allons nous placer du point
de vue de l’attaquant. Cela nous permettra de présenter les différentes étapes
de création de l’attaque, et notamment les méthodes de collecte
d’informations permettant de construire un email de phishing crédible et
pertinent.
L’objectif de l’attaque pourrait donc être celui-ci : obtenir les mots de passe
des collaborateurs afin d’accéder à leurs boites email.
Cela peut d’ailleurs être un bon déclencheur : lorsque vous cliquez sur un
lien, que vous pensez faire référence à une plateforme habituelle, et qu’à la
suite de ce clic, il soit nécessaire de saisir vos identifiants de connexion, alors
vous devez douter de l’identité du site.
Contexte
Nous sommes au début du mois de mars 2020 aux États-Unis, des milliers de
personnes – travaillant principalement dans le domaine de la santé – reçoivent
un email semblant provenir de « Mobility Research Inc. » et leur demandant
de télécharger une application pour contribuer à la lutte contre le
Coronavirus.
La société « Mobility Research Inc. » existe bel et bien mais pour rendre la
chose encore plus crédible, l’email mentionne le projet « Folding@home »
qui propose, en temps normal, un logiciel de calcul que les participants au
projet peuvent installer afin d’effectuer des calculs scientifiques et contribuer
ainsi à la recherche de vaccins potentiels.
Et vous l’avez deviné, ce sont ces mêmes fichiers qui seront visés par
« RedLine Stealer » si vous avez le malheur de le télécharger, vos identifiants
se retrouvant ensuite en vente sur des places de marché (sur le dark web
notamment).
Scénario d’attaque
Après ce bref aparté, revenons à notre scénario de phishing. Voici à quoi
ressemblait les emails reçus durant la campagne de mars 2020 :
Source : Proofpoint
Analyse
Encore une fois, plutôt convaincant ! Prenons néanmoins deux minutes pour
activer notre « radar anti-phishing » et passer en revue les indices mentionnés
précédemment :
Protections techniques
Les protections techniques peuvent intervenir à plusieurs niveaux : en amont
de l’attaque en empêchant que les collaborateurs ne puissent être confrontés
aux emails de phishing ; au cœur de l’attaque, en empêchant les victimes de
réaliser l’action sollicitée par l’attaquant ; et enfin en aval, de manière à
minimiser l’impact dans le cas où un collaborateur aurait été piégé.
Éléments humains
L’autre volet de la défense contre le phishing – l’humain – s’articule non
seulement autour de la sensibilisation individualisée, mais également autour
du développement d’une culture d’entreprise adéquate.
Les victimes ont des raisons légitimes à leur inaction : la honte de ne pas
avoir détecté si l’attaque, la peur des conséquences, etc. Elles peuvent donc
décider de ne rien dire, ce qui évidemment a des conséquences bien plus
graves pour l’entreprise : un mot de passe dérobé reste actif, une machine est
compromise sur le réseau, etc.
Afin d’éviter cela et maximiser la collaboration de chacun, nous
recommandons de sensibiliser les collaborateurs et les managers au points
suivants :
Tout le monde est susceptible de se faire piéger, même les plus
expérimentés. Par un malheureux hasard, le prétexte de l’email peut être
particulièrement pertinent au moment où il est reçu, l’email peut arriver à
un moment de rush, avec moins de vigilance, etc.
Le succès de l’attaque ne doit jamais être considéré comme un échec
personnel. Le fait que certaines attaques fonctionnent à un moment ou
un autre est inévitable. Il ne faut donc pas stigmatiser, ne pas tenir un
individu pour responsable, il est victime. De fait, il ne doit jamais
être sanctionné. Au contraire, il doit être soutenu et encouragé.
Les victimes d’attaques doivent communiquer le plus rapidement
possible lorsqu’elles prennent connaissance de l’attaque. C’est
l’objectif final, et pour cela les points précédemment cités sont
fondamentaux.
Auteurs : Cédric CALLY–CABALLERO & Benjamin BOUILHAC –
Pentesters @Vaadata