L’hameçonnage a longtemps été un vecteur d’attaque majeur sur les réseaux d’entreprise. Il n’est donc pas surprenant que chacun et chaque chose, des fournisseurs de messagerie électronique aux passerelles e-mail mais aussi aux navigateurs, aient des filtres anti-hameçonnage et des outils qui scannent les adresses e-mail à la recherche d’éléments malveillants. Par conséquent, les cybercriminels inventent constamment de nouvelles méthodes de contournement, ou améliorent celles déjà utilisées. L’hameçonnage en différé (delayed phishing) est une de ces techniques.
Qu’est-ce que l’hameçonnage en différé ?
L’hameçonnage en différé est une tentative qui cherche à tromper la victime et à la rediriger vers un site malveillant, ou une imitation, grâce à une technique connue comme Post-Delivery Weaponized URL. Comme son nom l’indique, il s’agit tout simplement de remplacer le contenu en ligne par une version malveillante après avoir envoyé un e-mail qui redirige vers la page. En d’autres termes, la victime potentielle reçoit un e-mail avec un lien qui ne redirige vers rien, ou l’envoie vers une ressource légitime qui a déjà été compromise mais n’a pas encore de contenu malveillant. Par conséquent, le message passe les filtres. Les algorithmes de protection trouvent l’URL dans le texte, analysent le site associé, ne détectent rien de dangereux et laissent entrer le message.
À un certain moment après la réception du message (toujours après qu’il soit reçu mais, si possible, avant qu’il ne soit lu) les cybercriminels changent le site du lien qui figure dans le message ou active un contenu malveillant sur une page jusqu’alors inoffensive. Ils peuvent utiliser diverses astuces : imitation d’un site bancaire ou encore exploit de navigateur qui cherche à atteindre l’ordinateur de la victime. Pourtant, dans 80 % des cas c’est un site d’hameçonnage.
Comment les cybercriminels arrivent-ils à tromper les algorithmes anti-hameçonnage ?
Ils se servent d’une de ces trois méthodes pour que leurs messages passent les filtres.
- Utilisation d’un lien simple. Dans ce genre d’attaque, les responsables contrôlent le site pris pour cible : création de la page ou piratage. Les cybercriminels préfèrent la seconde option puisqu’elle a tendance à avoir une bonne réputation et que les algorithmes de sécurité l’aiment bien. Au moment de la réception du message, le lien redirige soit vers un site sans aucun sens soit (et c’est plus souvent le cas) vers une page qui affiche le message d’erreur 404.
- Retournement de situation avec le lien raccourci. De nombreux outils en ligne permettent à n’importe qui de raccourcir une URL. Les liens courts simplifient la vie des utilisateurs. En réalité, ce lien court et facile à retenir s’allonge par la suite. En d’autres termes, il ne fait que rediriger l’utilisateur. Avec certains services, vous pouvez modifier le contenu caché derrière un lien court, une échappatoire que les cybercriminels peuvent exploiter. Lorsque le message est reçu, l’URL ouvre un site légitime qui devient malveillant après que les escrocs ont modifié l’URL.
- Ajout d’un lien court et aléatoire. Certains outils utilisés pour raccourcir les liens permettent une redirection probabiliste. Cela signifie que le lien a 50 % de chance de vous amener sur google.com et 50 % de chance d’ouvrir un site d’hameçonnage. La possibilité de finir sur un site légitime semble perturber les collecteurs (programmes pour la collecte automatique d’informations).
Quand les liens deviennent-ils malveillants ?
Les cybercriminels partent généralement du principe que leur victime est une personne normale qui dort la nuit. C’est pourquoi les messages d’hameçonnage en différé sont envoyés après minuit (fuseau horaire de la victime) et deviennent malveillants quelques heures plus tard, presque à l’aube. Si nous analysons de plus près les statistiques des mécanismes de lutte contre l’hameçonnage, nous constatons un pic entre 7 et 10 heures du matin, lorsque les utilisateurs qui fonctionnent au café cliquent sur les liens innocents au moment de l’envoi mais malveillants maintenant.
N’oubliez pas le spear phishing. Si les cybercriminels décident de s’en prendre à une personne en particulier, ils peuvent étudier sa routine et activer le lien malveillant suivant l’heure à laquelle cette personne consulte généralement ses e-mails.
Comment détecter l’hameçonnage en différé
Dans l’idéal, nous devons éviter que le lien d’hameçonnage n’atteigne l’utilisateur et il semblerait qu’une nouvelle analyse de la boîte de réception soit la meilleure option. C’est possible dans certains cas, notamment si votre entreprise utilise le serveur de messagerie Microsoft Exchange.
Depuis septembre, Kaspersky Security for Microsoft Exchange est compatible avec l’intégration du serveur de messagerie en passant par l’API native, ce qui permet d’analyser à nouveau les messages qui sont déjà dans la boîte de réception. Une heure d’analyse bien configurée garantit la détection des tentatives d’hameçonnage sans créer de charge supplémentaire sur le serveur aux heures de pointe.
Notre solution vous permet également de surveiller vos messages internes (qui ne passent pas par la passerelle de sécurité de la messagerie et ne sont donc pas analysés par les filtres et scanners du système) et de configurer des règles de filtrage du contenu plus complexes. La possibilité de scanner à nouveau le contenu de vos e-mails et de contrôler les correspondances internes est particulièrement importante lorsque vous êtes dans une situation de risque, comme les attaques de compromission de la messagerie (BEC) qui permettent aux pirates informatiques d’accéder au compte e-mail professionnel.
Kaspersky Security for Microsoft Exchange Server est inclus dans nos solutions Kaspersky Security for Mail Servers et Kaspersky Total Security for Business.