Les attaques ciblées par e-mail ne se limitent pas à l’hameçonnage ciblé (spear phishing) et aux attaques de compromission de la messagerie d’entreprise (BEC). Le détournement de conversations est une autre menace grave. En quelques mots, lors de cette attaque, le cybercriminel rejoint une conversation professionnelle par e-mail et se présente comme un des participants. Cet article analyse le fonctionnement de cette attaque et les mesures que vous pouvez prendre pour réduire les risques.
Comment les cybercriminels ont-ils accès aux messages ?
Pour s’immiscer dans une conversation privée par e-mail, les cybercriminels doivent d’abord avoir accès à la boîte de réception ou aux archives des messages. Ils peuvent utiliser plusieurs astuces pour arriver à leurs fins.
La plus évidente consiste à pirater la boîte mail. Lorsqu’il s’agit de services Cloud, l’attaque par force brute du mot de passe est la méthode idéale : les cybercriminels recherchent les mots de passe associés à une adresse e-mail en particulier dans les bases de données de services en ligne qui ont été divulguées, puis les saisissent avec l’adresse e-mail professionnelle pour voir s’ils fonctionnent. C’est pourquoi il est crucial de ne pas utiliser les mêmes identifiants pour plusieurs services et de ne pas utiliser votre adresse e-mail professionnelle lorsque vous vous inscrivez sur des sites qui n’ont aucun lien avec votre travail. Une autre méthode consiste à accéder aux messages en exploitant les vulnérabilités du programme du serveur.
De façon générale, les acteurs malveillants ne contrôlent pas longtemps l’adresse e-mail professionnelle, mais c’est généralement suffisant pour télécharger les archives des messages. Ils créent parfois des règles de renvoi dans les paramètres pour recevoir en temps réel les messages entrants sur la boîte de réception. Ils peuvent lire les messages mais pas en envoyer. S’ils souhaitent envoyer des messages, ils auront plutôt recours à une attaque BEC.
Le programme malveillant est une autre option. Nos collègues ont récemment découvert une campagne de masse de détournement des conversations qui cherchait à infecter les ordinateurs avec le cheval de Troie QBot. Les e-mails qui contenaient la charge virale des cybercriminels ont probablement été envoyés par des personnes qui ont aussi été victimes du programme malveillant QBot (qui peut accéder aux archives locales des messages).
Pourtant, les hackers autoproclamés et les opérateurs de programmes malveillants n’ont pas nécessairement besoin de détourner les conversations eux-mêmes. Les archives des messages sont parfois vendues sur le Dark Web et utilisées par d’autres escrocs.
Quel est le fonctionnement du détournement de conversations ?
Les cybercriminels fouillent dans les archives des messages à la recherche d’e-mails de diverses entreprises (associés, sous-traitants, fournisseurs, etc.). La date importe peu puisque les escrocs peuvent reprendre une conversation qui remonte à des années. Après avoir trouvé un échange de messages adéquat, ils écrivent à l’une des parties impliquées et se présentent comme l’autre partie. L’objectif est de leurrer la personne qui reçoit le message pour la convaincre de faire ce que les escrocs demandent. Avant d’en venir au vif du sujet, ils échangent parfois plusieurs messages pour que la victime baisse la garde.
Étant donné que le détournement de conversations est une attaque ciblée, les escrocs utilisent généralement un domaine similaire. Autrement dit, le domaine est très ressemblant visuellement parlant à celui d’un des participants mais contient quelques petites différences, comme un domaine de premier niveau différent, une lettre supplémentaire ou un autre symbole qui ressemble à l’original.
Pourquoi le détournement de conversations est-il utilisé ?
Les objectifs du détournement de conversations sont assez ordinaires : avoir accès à certaines ressources en volant les identifiants de connexion, leurrer la victime pour la convaincre de faire un virement vers le compte des escrocs ou encore obliger la victime à ouvrir une pièce jointe malveillante ou à cliquer sur un lien qui ouvre un site infecté.
Comment vous protéger contre le détournement de conversations ?
Le principal danger que le détournement de conversations représente est que les messages de ce genre sont assez difficiles à détecter à l’aide d’outils automatiques. Heureusement, notre arsenal inclut Kaspersky Security for Microsoft Office 365, une solution qui détecte les actions de personnes qui essaient de rejoindre discrètement les conversations des autres. Pour réduire encore plus les risques pour vous et vos collègues, nous vous conseillons de :
- Protéger les dispositifs des employés pour qu’il soit plus difficile de voler les archives des messages.
- Choisir des mots de passe uniques pour vos comptes professionnels de messagerie.
- Minimiser le nombre de services externes auxquels vous vous inscrivez avec votre adresse professionnelle.
- Modifier le mot de passe après un incident avec votre adresse e-mail et de vérifier si des règles de renvoi indésirables sont apparues dans les paramètres.