Hameçonnage et services d’emailing marketing

Pour déjouer les technologies anti-hameçonnage, les malfaiteurs peuvent se servir des fournisseurs de messagerie électronique légitimes (ESP) mais ces e-mails dangereux peuvent être interceptés.

Depuis des années, les escrocs ont recours à plusieurs astuces pour contourner les technologies anti-hameçonnage. Une autre méthode, avec des taux de réussite élevés lorsqu’il s’agit d’envoyer des liens d’hameçonnage aux victimes, consiste à utiliser les services d’emailing marketing, aussi connus sous le nom de fournisseurs de messagerie électronique (ESP), pour envoyer les messages. Selon les statistiques obtenues à partir de nos solutions, cette technique gagne de la vitesse.

Utilisation des ESP pour faire de l’hameçonnage. Pourquoi ?

Les entreprises qui ne négligent pas les menaces reçues par e-mail analysent minutieusement tous les messages, à l’aide de programmes anti-hameçonnage et anti-spam, avant d’en autoriser l’arrivée dans la boîte de réception des utilisateurs. Ces outils scannent le contenu du message, l’en-tête et les liens mais vérifient aussi la réputation de l’expéditeur et tous les sites Internet associés. Les évaluations de risque reposent sur une combinaison de tous ces facteurs. Par exemple, si l’expéditeur d’un envoi massif de messages est inconnu, l’action est considérée comme suspecte et une alerte est envoyée aux algorithmes de sécurité.

Les cybercriminels ont trouvé une autre solution : envoyer les e-mails au nom d’une institution de confiance. Les services d’emailing marketing, qui gèrent l’envoi de newsletters de bout en bout, s’acquittent parfaitement de ce rôle, notamment parce qu’ils sont connus. De nombreux fournisseurs de solutions de sécurité autorisent leurs adresses IP par défaut, et certains désactivent même la vérification des e-mails envoyés depuis ces services.

Exploitation des ESP

Le principal vecteur d’attaque est évident : de l’hameçonnage qui se fait passer pour un e-mail légitime. En général, les cybercriminels deviennent clients du service pris pour cible en choisissant l’abonnement le moins cher. Des dépenses plus élevées n’auraient aucun sens d’autant qu’ils s’attendent à être rapidement identifiés et bloqués.

Il existe toutefois une option plus exotique : l’utilisation de l’ESP comme hôte de l’URL. Dans ce cas, la newsletter est envoyée depuis l’infrastructure de la personne à l’origine de l’attaque. Par exemple, les cybercriminels peuvent créer une campagne test qui contient une URL d’hameçonnage et se l’envoyer pour avoir un aperçu. L’ESP crée un proxy pour cette URL puis les cybercriminels n’ont qu’à prendre l’URL proxy pour envoyer leur newsletter d’hameçonnage. Ils peuvent aussi créer un site Web d’hameçonnage qui ressemble à un modèle de message et fournir un lien qui redirige vers cette page. Cette situation est moins courante.

Quoi qu’il en soit, ce nouveau proxy URL a désormais une réputation positive et ne sera pas bloqué. L’ESP, qui ne s’occupe pas de l’envoi, ne détecte rien d’anormal et ne bloque pas ce « client », du moins pas tant que personne ne s’en plaint. Ces techniques sont parfois utilisées pour faire du spear-phishing (harponnage).

Opinion des ESP

Comme on pouvait s’y attendre, les ESP n’apprécient pas vraiment que les cybercriminels se servent d’eux. La plupart dispose de leurs propres technologies de sécurité qui analysent le contenu des messages et les liens qui passent par les serveurs, et presque tous donnent des conseils aux personnes victimes d’hameçonnage sur leurs sites.

Par conséquent, les cybercriminels font tout pour que les ESP gardent leur calme. Par exemple, l’utilisation d’un fournisseur pour le proxy a tendance à retarder les liens d’hameçonnage donc, au moins de la création, les liens des messages tests apparaissent comme légitimes. Ce n’est que plus tard qu’ils deviennent malveillants.

Que faire

Dans de nombreux cas, les envois massifs sont adressés au personnel d’une entreprise dont les adresses e-mail sont publiques. Même les plus vigilants d’entre nous peuvent ne pas détecter un message suspect ou malveillant et cliquer sur quelque chose de dangereux. Pour protéger vos employés des éventuelles attaques d’hameçonnage envoyées par les services d’emailing marketing, nous vous conseillons de faire ce qui suit :

  • Expliquez à vos employés qu’ils ne doivent jamais ouvrir les e-mails marqués comme « envoi massif » sauf s’ils se sont abonnés à la liste de distribution en question. Il est peu probable que ces messages soient urgents et il s’agit souvent de publicité intrusive.
  • Installez des solutions de sécurité robustes qui analysent minutieusement tous les messages entrants avec des algorithmes heuristiques.

Parmi nos solutions, nous vous proposons Kaspersky Security for Microsoft Office 365 et Kaspersky Security for Mail Server qui font partie de Kaspersky Total Security for Business. Elles protègent efficacement les utilisateurs contre cette menace.

Conseils