Les pirates informatiques ont tendance à faire un travail préparatoire minutieux lorsqu’ils conçoivent des attaques de compromission de la messagerie en entreprise (BEC). Lorsqu’ils se font passer pour quelqu’un ayant le droit de faire des virements ou d’envoyer des informations confidentielles, leurs messages doivent sembler aussi légitimes que possible. Chaque détail compte.
Nous avons récemment analysé un exemple très intéressant d’e-mail envoyé à un employé pour entamer la conversation.
Le texte est assez court et direct pour ce genre de message Le cybercriminel indique clairement que l’expéditeur a une réunion et qu’il est injoignable. Cette technique lui permet de décourager le destinataire de vérifier s’il échange vraiment avec la personne dont le nom apparaît dans la signature. Nous pouvons constater que le cybercriminel n’a pas pris la peine de cacher l’information indiquant que l’e-mail a été envoyé depuis un service de messagerie public, ce qui laisse entendre qu’il sait que la personne pour laquelle il se fait passer utilise ce service ou considère qu’il est normal que l’entreprise utilise un service tiers de messagerie pour ses correspondances professionnelles.
Un autre détail a pourtant attiré notre attention : la signature « Sent from my iPhone » (Envoyé de mon iPhone). Cette signature est celle qu’utilise l’application Mail d’iOS par défaut pour les messages envoyés alors que les en-têtes techniques montrent que le message a été envoyé depuis une interface Web, et plus précisément depuis le navigateur Mozilla.
Pourquoi les cybercriminels essaient-ils de nous faire croire que le message a été envoyé depuis un smartphone Apple ? La signature automatique a peut-être été ajoutée au message pour lui donner plus de poids. Ce n’est pas l’approche la plus classe. Les attaques BEC sont souvent envoyées depuis l’adresse d’un collègue et il est fort probable que dans ce cas le destinataire savait quel dispositif la personne dont l’identité a été usurpée utilise.
L’escroc savait ce qu’il se faisait, mais comment est-ce possible ? En réalité, ce n’est pas si difficile. Il suffit de savoir comment utiliser un pixel espion, aussi connu sous le nom de balise Web.
Qu’est-ce qu’un pixel espion et pourquoi est-il utilisé ?
En général, les entreprises (autrement dit presque toutes) qui envoient des e-mails en nombre aux clients, associés, lecteurs ou autres veulent savoir le niveau d’engagement atteint. En théorie, les services de messagerie disposent d’une option qui permet d’envoyer un accusé de lecture mais les destinataires doivent l’accepter et la plupart refuse. C’est pourquoi les personnes habiles qui travaillent dans le marketing ont inventées le pixel espion.
Un pixel espion est une image minuscule. Elle ne contient qu’un seul pixel, est invisible à l’œil nu et vit sur un site Internet. Lorsque l’application de messagerie d’un client demande l’image, l’expéditeur qui contrôle le site sait que le message et l’adresse IP du dispositif receveur ont été ouverts, à quelle heure le message a été lu et reçoit les informations relatives au programme utilisé pour l’ouvrir. Vous êtes-vous déjà rendu compte qu’un e-mail n’affichait pas les images jusqu’à ce que vous ayez cliqué sur un lien pour les télécharger ? Ce n’est pas pour améliorer les performances ou pour limiter le trafic. En général, le téléchargement automatique d’images est désactivé par défaut pour des raisons de sécurité.
Comment un cybercriminel peut-il exploiter le pixel espion ?
Nous allons vous donner un exemple. Alors que vous êtes en déplacement à l’étranger, vous recevez un message dans votre boîte de réception professionnelle qui semble important pour votre entreprise. Vous fermez et supprimez l’e-mail dès que vous vous rendez compte qu’il ne vous intéresse mais, pendant ce temps, les cybercriminels ont découvert que :
- Vous êtes dans un autre pays grâce à votre adresse IP. Cela signifie qu’il est difficile d’avoir un contact personnel avec vos employés et que vous pourriez être la bonne personne à imiter.
- Vous utilisez un iPhone puisque vous avez ouvert le message avec l’application Mail du système d’exploitation iOS. L’ajout de la signature « Envoyé de mon iPhone » va donner plus de crédibilité au faux message.
- Vous avez lu l’e-mail à 11 h. Cette information isolée n’est pas vraiment importante mais si vous consultez régulièrement vos e-mails les cybercriminels pourront en déduire votre emploi de temps et vos horaires de travail pour que l’attaque se produise à une heure où vous n’êtes généralement pas disponible.
Comment pouvez-vous lutter contre cet espionnage ?
Il est assez difficile de se protéger du pistage mais cela ne signifie pas pour autant que vous devriez simplifier le travail des cybercriminels. Nous vous conseillons de suivre ces quelques conseils :
- Si l’e-mail du client vous demande de « cliquer ici pour télécharger les images » alors cela signifie que le contenu visuel a été bloqué pour des raisons de confidentialité. Réfléchissez bien avant d’accepter. L’e-mail est moins attrayant sans image mais en autorisant le téléchargement vous fournissez des renseignements sur vous et votre dispositif à des étrangers.
- N’ouvrez pas les messages du dossier spam. Les filtres anti-spam actuels sont extrêmement précis, surtout si votre serveur de messagerie est protégé par notre technologie.
- Faites attention aux envois en nombre de messages B2B. Une chose est de s’abonner volontairement aux actualités d’une entreprise, mais c’en est une autre si l’e-mail a été envoyé par une entreprise que vous ne connaissez pas et pour des raisons que vous ignorez. Dans ce cas, il vaut mieux ne pas ouvrir le message.
- Installez des solutions robustes équipées de technologies anti-spam et anti-hameçonnage avancées pour protéger votre adresse e-mail professionnelle.
Kaspersky Total Security for Business (Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server and Kaspersky Secure Mail Gateway components) et Kaspersky Security for Microsoft Office 365 intègrent notre technologie anti-spam et anti-hameçonnage.