Ca n’est un secret pour personne, la plupart des cyberattaques commencent par un phishing, c’est à dire l’envoi d’un email frauduleux qui va chercher à obtenir les identifiants d’un utilisateur ou déployer un malware.
Comment refermer cette porte d’entrée ? La solution la plus évidente serait d’empêcher les utilisateurs de recevoir les mails de phishing. Pas de mail de phishing, pas de tête de pont pour les hackers. Logique non ?
C’est ce qui a conduit au déploiement de solutions anti-spam. Cette approche est évidemment utile dans la mesure où elle élève le niveau technique nécessaire pour rentrer au sein des boites mails. Mais elle ne garantie malheureusement jamais une protection absolue , face à des hackers disposant d’une panoplie d’outils et de moyens pour contourner ces filtres anti-spam.
Cet article va donc explorer quelques unes des tactiques courantes que des hackers peuvent mettre en place pour s’assurer que leur message parviendra bien à son destinataire final.
Ces méthodes évoluent sans cesse, et ces exemples ont avant tout une portée éducative : expliquer simplement à vos utilisateurs pourquoi une solution d’anti-spam ne constituera jamais pas une barrière absolue, et pourquoi la vigilance doit toujours rester de mise.
Que fait un anti-spam ? La réponse courte : deux choses.
Ce n’est pas pour dire que les anti-spams ne sont pas utiles et nécessaires pour une enterprise (bien au contraire). Simplement que comprendre ce que fait un anti-spam permet d’envisager comment le contourner.
Il y donc deux grandes approches pour des hackers souhaitant contourner un anti-spam :
Afin de contourner l’évaluation de l’expéditeur, ou plutôt de masquer une réputation “négative” qui activerait le bloquage spam du mail, les hackers vont chercher à donner l’impression qu’il est fiable car provenant d’un domaine de confiance :
Les hackers peuvent facilement donner un vernis de fiabilité à leur emails, en effectuant quelques actions en amont de l’envoi
Ce type d’attaque rend complètement caduques la composante “réputation” des anti-spams.
Les hackers passent par la compromission d’un premier compte (d’un fournisseur, d’un client) et se servent de cette tête de pont pour envoyer leurs emails de phishing.
Ils bénéficient ainsi de la réputation du compte compromis (considéré comme un compte “normal” tant que l’envoi n’excède pas un certain nombre de mails) et des réflexes des destinataires qui ont l’habitude de recevoir des mails de cet expéditeur, et vont être susceptibles de se faire piéger par la confiance qu’ils lui accordent.
Par exemple, si vous avez l’habitude de recevoir des factures pdf et pièces jointes Excel d’un fournisseur, l’anti-spam ne va pas s’alerter si vous recevez un pdf et un Excel de ce même fournisseur, ce qui laissera l’utilisateur exposé.
Un email de phishing cherche à délivrer un payload qui, en général, est soit une URL envoyant vers un site (pour générer un téléchargement, récupérer des identifiants) soit une pièce jointe (pour exécuter du code malveillant, via, par exemple, des macros).
Les anti-spams protègent les utilisateurs en analysant le contenu du mail : URL et pièce jointe, et parfois de manière poussée. Mais cela ne suffit pas devant l’inventivité des hackers.
Il existe des solutions pour éviter que la page de destination d’un mail de phishing ne déclenche un filtre anti-spam.
Afin de contrecarrer les techniques des hackers, les solutions anti-spam s’appuient sur des techniques comme la réécriture d’URL pour gagner un temps d’analyse et protéger l’utilisateur.
L’approche consiste à rediriger l’utilisateur qui a cliqué pendant un moment, le temps que l’anti-spam analyse la page de destination. L’objectif est de répondre à la multiplication des URL malveillantes pour éviter les filtres basés sur des listes statiques, mais les hackers ont trouvé des parades :
Une pièce jointe malveillante qui va déclencher le téléchargement de malware via des macros (par exemple) est une arme très efficace employée par les hackers.
Les filtres anti-spams ont tenté de répondre à cette approche en exécutant le code contenu dans des pièces jointes dans des environnements sécurisés, isolés du reste du système (sandbox) afin de vérifier qu’il n’est pas dangereux. Mais, là encore dans ce jeu du chat et des souris, les hackers ont trouvé des techniques pour contourner ces défenses.
Les malwares modernes ont des fonctionnalités pour détecter et éviter les mécanismes de protection, et pour cacher les éléments malveillants si ils sont exécutés dans une sandbox ou un analyseur de code :
En somme, il est possible de trouver sur le darkweb des logiciels malveillants dotés de fonctionnalités d'évasion de sandbox pour un prix aussi bas que 30 $ :
Les anti-spams ont toute leur utilité : ils empêchent les attaques de masse, ils contraignent les hackers à investir du temps (et donc de l’argent et des ressources) pour les contourner, et ils fournissent une couche d’analyse à même de détecter certaines attaques.
Mais attention à certaines croyances parfois enracinées chez certains des collaborateurs moins avertis, et qui penseraient pouvoir s’abriter derrière l’anti-spam ou anti-phishing de la société.
Ces outils ne sont pas une parade absolue contre les attaques de phishing, dont une des composantes principales est justement d’arriver à passer cette première barrière.
Quels sont les facteurs en jeu qui poussent les gens à cliquer sur des emails de phishing ? Et que peuvent faire les entreprises pour renforcer leur cybersécurité ?
Qu'est-ce que le SMishing (SMS phishing) et comment hackers mène-t-il ces attaques ?
Qu'est-ce que l'ingénierie sociale ? Comment hackers utilise-t-il cette tactique dans ses attaques de phishing et de spear-phishing ?