Attaques BEC internes : comment les gérer ?

Les attaques de compromission de la messagerie d’entreprise qui utilisent des boîtes mail compromises sont particulièrement dangereuses. Voici comment les identifier.

Au cours de ces dernières années, les attaques de compromission de la messagerie d’entreprise (Business Email Compromise ou BEC) sont devenues de plus en plus fréquentes. Leur objectif est de compromettre la correspondance commerciale dans le but de perpétrer une fraude financière, d’extraire des informations confidentielles ou de nuire à la réputation d’une entreprise. Dans notre article précédent sur les types d’attaques BEC et la manière de les gérer, nous avons parlé des détournements des comptes de messagerie électronique. Aujourd’hui, cependant, nous parlons du type d’attaque BEC le plus dangereux : l’attaque BEC interne. Nous avons récemment développé et mis en œuvre une nouvelle technologie pour vous protéger contre cette menace spécifique.

Pourquoi une attaque BEC interne est plus dangereuse qu’une attaque externe

Les attaques BEC internes diffèrent des autres scénarios d’attaque dans le fait que les courriers électroniques frauduleux sont envoyés à partir d’adresses légitimes au sein d’une même entreprise. En d’autres termes, pour lancer une attaque interne, un attaquant doit avoir obtenu l’accès au compte de messagerie d’un employé. Cela signifie que vous ne pouvez pas compter sur les mécanismes d’authentification du courrier électronique (DKIM, SPF, DMARC) pour l’empêcher ; les outils standard anti-phishing et anti-spam automatiques, qui recherchent les incohérences dans les en-têtes techniques ou les adresses modifiées, ne pourront pas non plus vous aider.

Habituellement, le message provenant de la boîte de messagerie compromise contient une demande de transfert d’argent (à un fournisseur, un entrepreneur, le bureau des impôts, etc.), ou d’envoi d’informations confidentielles. Tout cela est assaisonné de techniques d’ingénierie sociale courantes. Les cybercriminels essaient de presser le destinataire (si nous ne payons pas la facture aujourd’hui, la société va devoir verser une amende !), font des menaces (je vous ai demandé d’effectuer le paiement le mois dernier, qu’est-ce que vous attendez ?!), adoptent un ton autoritaire qui ne laisse aucune marge de manœuvre, ou utilisent d’autres stratagèmes classiques d’ingénierie sociale. Combiné à une adresse légitime, cela peut donner quelque chose de très convaincant.

Les attaques BEC internes peuvent également déployer des e-mails contenant des liens vers de faux sites dont les URL diffèrent de l’adresse de l’organisation cible (ou d’une autre page de confiance) d’une ou deux lettres seulement (un  » i  » majuscule au lieu d’un  » L  » minuscule, ou vice versa, par exemple). Le site peut héberger un formulaire de paiement ou un questionnaire demandant des informations confidentielles. Imaginez que vous recevez un message de ce type de la part de votre patron :  » Nous avons décidé de vous envoyer à la conférence. Réservez le billet à partir de notre compte dès que possible afin que nous puissions bénéficier de la réduction pour les inscriptions anticipées.  » Avec un lien qui ressemble au site de l’événement le plus important de votre secteur, cela semble assez convaincant. Quelles sont les chances que vous preniez le temps d’étudier attentivement chaque lettre du nom de la conférence si tout,du début à la signature de l’e-mail, vous semble correct ?

Comment protéger l’entreprise contre les attaques BEC internes

Techniquement, le courrier électronique est parfaitement légal, de sorte que la seule façon de reconnaître un faux est de juger le contenu. En faisant passer de nombreux messages falsifiés par des algorithmes d’apprentissage automatique, il est possible d’identifier des traits qui, combinés, peuvent aider à déterminer si un message est réel ou s’il fait partie d’une attaque BEC.

Heureusement (ou malheureusement, selon les points de vue), nous ne manquons pas d’échantillons. Nos pièges de courrier électronique détectent chaque jour des millions de messages de spam dans le monde entier. Ils comprennent un nombre considérable d’e-mails de phishing – qui ne sont pas des attaques BEC internes, bien sûr, mais qui utilisent les mêmes astuces et ont les mêmes objectifs, de sorte que nous pouvons les utiliser pour apprendre. Pour commencer, nous formons un classificateur sur ce grand volume d’échantillons afin d’identifier les messages contenant des signes de fraude. L’étape suivante du processus d’apprentissage automatique se fait directement sur le texte. Les algorithmes sélectionnent des termes pour la détection des messages suspects, sur la base desquels nous développons des règles heuristiques que nos produits peuvent utiliser pour identifier les attaques. Tout un ensemble de classificateurs d’apprentissage automatique participe au processus.

Mais ce n’est pas une raison pour se désintéresser du sujet ! Nos produits peuvent maintenant détecter beaucoup plus d’attaques BEC qu’auparavant, mais après avoir accédé au compte de courrier électronique d’un employé, un intrus peut étudier son style et essayer de l’imiter lors d’une attaque unique. Il ne faut pas baisser la garde.

Nous vous recommandons d’examiner attentivement les messages demandant un virement de fonds ou la divulgation de données confidentielles. Ajoutez une couche d’authentification supplémentaire en téléphonant ou en envoyant un message (dans un service de confiance) au collègue en question, ou en lui parlant en personne pour clarifier les détails.

Nous utilisons les règles heuristiques que notre technologie anti-BEC génère dans Kaspersky Security for Microsoft Office 365, et nous prévoyons de les implanter également dans d’autres solutions.

Conseils