Spearphishing

Les courriels les plus dangeureux sont des messages personnalisés ("spearphishing") qui semblent provenir d’une source de confiance mais qui ne le sont pas réellement (usurpation). Il existe plusieurs technique pour usurper les courriels et des stratégies pour contrer chaque type.

file-jYYyDutHcg.png

-Exemple typique d’une fraude du président, un type d'usurpation.


DANS CET ARTICLE  
Le problème de l'usurpation Usurpation au niveau du SMTP
Usurpation au niveau du contenu Usurpation de l'identité
Nos mesures de protection

Le problème de l'usurpation

Pour pouvoir subvenir à leurs fins, les acteurs malveillants cherchent à se faire passer pour des autres. Cette pratique s'appelle l'usurpation ("spoofing").

Les courriels usurpés sont utilisés à de nombreuses fins par les spammeurs. Par exemple :

  • Vous soutirer des informations personnelles (identifiants de connexion, informations bancaires, etc)
  • Vous faire installer un logiciel malveillant (ransomware, Malware, botnets)

Ce type de courriel est faciles à détecter parce qu'il contient un élément technique d'action : un fichier à télécharger ou un lien à cliquer.

Les courriels les plus difficiles tentent de vous convaincre à prendre une action simplement avec des mots. Puisque les courriels semblent provenir de sources de confiance, vous êtes plus aptes à tomber dans le piège.

Afin de comprendre comment bloquer ces types de courriel, il est important de comprendre comment les spammeurs usurpent les expéditeurs.

Trois types d'usurpations

Il existe trois catégories d’usurpation :

  • Usurpation au niveau du SMTP
  • Usurpation au niveau du contenu
  • Usurpation du nom ou de l'identité

Deux adresses d'envoi

Pour faire une usurpation, les expéditeurs manipulent les conventions d'envoi des courriels.

Afin de mieux compendre comment se font les usurpations et surtout comment les bloquer, commençons par une brève explication sur la façon dont les informations de l’expéditeur sont affichés dans les courriels.

Un courriel peut avoir deux adresses d'envoi :

  1. L’adresse de l’expéditeur utilisée dans la transaction SMTP. Elle est donnée pendant la commande MAIL FROM par le serveur d’envoi. C’est le SMTP-From.
  2. L’adresse de l’expéditeur qui apparaît dans le contenu du courriel. Elle est donnée dans l'entête From: du courriel. On peut la subdivier en deux parties: le nom de l’expéditeur (From-Name) et l'adresse de l'expéditeur (From-address). C’est le Content-From.

Avec ces clarifications, nous pouvons maintenant en apprendre davantage sur les différents types d’usurpation d’identité ainsi que sur les façons de les bloquer.

Usurpation au niveau du SMTP

Problème : le spammeur utilise un domaine qui ne leur appartient pas lors d’une transaction SMTP.
Solution : utiliser un enregistrement SPF (voir articles connexes).

Ce type d’usurpation existe depuis très longtemps, tout comme sa solution : l'adoption d'un enregistrement SPF.

En pratique c'est un peu plus complexe. La protection offerte par SPF ne fonctionne que si :

  • Tous les domaines qui envoient des courriels ont un enregistrement SPF
  • Tous les serveurs qui reçoivent des courriels vérifient les enregistrement SPF

En pratique, l'adoption du SPF (tant l'enregistrement que la vérification) est loin d'être universelle. Tant qu'il n'y a pas une adoption à 100%, cette technique d'usurpation demeure viable pour les spammeurs.

De plus, comme cela affecte les domaines d’envoi, il y a très peu que vous -en tant que destinataire- pouvez faire si votre expéditeur n’utilise pas le SPF.

Usurpation au niveau du contenu

Problème : le spammeur fait son envoi avec un domaine valide au niveau du SMTP, mais usurpe le domaine du Content-From.
Solution : utiliser un enregistrement DMARC (voir articles connexes).
Avec l’adoption croissante des enregistrements SPF, les spammeurs ont commencé à changer leurs techniques d'usurpation. Ils ont commencé à envoyer des courriels soit en utilisant des domaines qui n’avaient pas d’enregistrement SPF ou soit en utilisant des domaines qui passent les vérifications SPF. C'est bien simple pour eux d'utiliser des adresses gratuites, en enregistrant des domaines à faible coûts ou en utilisant leurs botnets.
La technique implique donc l'usurpation de l'adresse Content-From, celle affichée dans le courriel. Sans vérifier les entêtes du courriel, il est impossible de déterminer la légitimité de l'adresse.

Le DMARC adresse spécifiquement ce problème. Cette solution a une limitation similaire en tant qu’aux enregistrements SPF :

  • Tous les domaines qui envoient des courriels ont un enregistrement DMARC
  • Tous les serveurs qui reçoivent des courriels vérifient les enregistrement DMARC

Les enregistrements DMARC sont beaucoup plus récents et ont donc une adoption beaucoup plus faible par rapport à SPF. Quoi qu’il en soit, DMARC reste la meilleure méthode de blocage contre l'usurpation au niveau du contenu.

Usurpation de l'identité

Problème : le spammeur fait son envoi avec un domaine valide au niveau du SMTP et dans le contenu du courriel. Le spammeur usurpe le nom de l'expéditeur.
Solution : notre module Spearphishing.

Cette technique est conçue pour usurper malgré la présence d'un SPF et DMARC sur un domaine. Les spammeurs peuvent usurper le nom de l’expéditeur sans même usurper les adresses SMTP-From ou Content-From. L'usurpation du nom (parfois aussi appelé whaling ou fraude du président) est particulièrement difficile à bloquer puisque de nombreux clients de messagerie modernes affichent uniquement le nom de l'expéditeur.

Il n’existe actuellement aucun équivalent SPF ou DMARC qui lie le nom d’une personne à son nom de domaine.

Ceci étant dit, nous avons développé un module spécialisé afin de bloquer de manière fiable ces types d’attaques. Le module Spearphishing (voir les articles connexes) est disponible pour tous nos clients et est prêt à être configuré pour bloquer les courriels usurpant le nom d'un de vos utilisateurs.

Nos mesures de protection

Nos filtres effectuent le filtrage à deux niveaux pour mieux bloquer les usurpations.

Détection générale

En nous basant sur l'analyse de milliers d’échantillons de phishing, nous avons créé des filtres qui bloquent efficacement la plupart des attaques en fonction des facteurs suivants :

  • Vérifications d’authentification de base : SPF, DKIM et DMARC.
  • La correspondance entre l'adresse d'envoi SMTP, l'adresse dans le contenu et l'adresse Reply-to:.
  • Différence du texte des domaines dans les champs From: et To: (cad : distance lexicographique).
  • La validité du domaine d'envoi.
  • La présence de texte relatif aux transferts d'argent ou à la divulgation d'informations confidentielles.

Ces filtres sont mis à jour continuellement par notre équipe de spécialistes.

Module Spearphishing

Le module Spearphishing est une composante facultative de notre architecture de filtrage qui peut être utilisé sans frais supplémentaires et qui n’interagit pas avec nos règles de base de détection de spearphishing. Si le module Spearphishing est activé et ne parvient pas à reconnaître un courriel usurpé, ce message peut toujours être bloqué par nos règles de détection génériques.

Le module augmente considérablement notre puissance de détection des usurpations hyper-personalisées. Il est conçu pour bloquer les usurpations de l'identité en détectant les noms usurpésVous pouvez apprendre à configurer notre module Spearphishing en consultant les articles connexes.

Ceci a-t-il répondu à votre question? Merci d'avoir partagé vos commentaires! Une erreur est survenue lors du traitement de votre requête. Veuillez réessayer un peu plus tard.