Diffusion de phishing et virus : 3 nouvelles techniques identifiées

Alors qu’auparavant le spam était essentiellement source de désagréments et de baisse de productivité, il sert également aujourd’hui à véhiculer des virus et des attaques par phishing très dangereuses.

L’e-mail reste la porte d’entrée préférée des hackers sur les réseaux d’entreprise. Ainsi, près de 90% des e-mails envoyés sur les adresses de messagerie professionnelles sont des spam. Alors qu’auparavant ces spam étaient essentiellement source de désagréments et de baisse de productivité, ils servent également aujourd’hui à véhiculer des virus et des attaques par phishing très dangereuses, qui gagnent continuellement en intensité et en intelligence.

Plusieurs finalités à ces attaques : voler des données (identifiants personnels, coordonnées bancaires, propriété intellectuelle, etc.), et de l’argent (via des trojan banking par exemple ou des cryptolocker et demandes de rançons) mais également infiltrer des réseaux pour mener des attaques ultérieures de plus grande envergure et développer des réseaux de botnets de plus en plus puissants pour diffuser encore plus de spam, virus et phishing.

3 nouvelles techniques identifiées

> Des vagues qui utilisent des adresses IP non reconnues

Les cybercriminels se servent de réseaux de botnets/spambots (réseaux de PC zombies) dont ils ont considérablement développé la puissance ces derniers mois. Grâce à ces réseaux, les cybercriminels sont en mesure d’envoyer régulièrement des vagues massives et intenses de spam - jusqu’à plusieurs millions de spam simultanément pour les plus gros réseaux. La force de ces campagnes de spam massives est qu’elles sont basées sur des réseaux de PC bénéficiant d’adresses IP non reconnues, que les outils de filtrages antispam classiques par signatures ou réputation ne sont pas en mesure d’identifier comme spam dans un premier temps.

L’utilisation d’adresses IP non blacklistées permet aux spam, et potentiellement aux virus et phishing de franchir les systèmes de filtrage - traditionnels basés sur les signatures ou réputation-  qui ont besoin de temps pour identifier et blacklister ces nouvelles adresses. Pour les hackers, cela suppose toutefois de renouveler leurs réseaux de PC zombies non identifiés entre chaque attaque. On observe ainsi une période de 6 à 10 jours entre chaque très grosse vague de spam. Entre-temps les hackers se livrent surtout à de petites attaques pour infecter de nouveaux postes et ainsi faire croître leur réseau de PC zombies. Le seul moyen de bloquer efficacement ces vagues est d’utiliser le filtrage heuristique qui permet d’analyser le contenu des e-mails plutôt que de se baser uniquement sur son origine (réputation) ou sa propagation sur les réseaux et l’internet (signature).

> Des virus à tout faire (polymorphes)

Illustration de la nouvelle ère de l’industrialisation du hacking, les virus sont également de plus en plus intelligents. Alors qu’auparavant chaque virus était programmé pour une action précise, les virus actuels sont commandés à distance. Après avoir pénétré le réseau le plus discrètement possible, un virus actuel peut être commandé à distance et être utilisé au besoin par exemple comme actif d’un spambot de grande envergure voire même pour une attaque de cryptolockage.      

> Activation des liens URL de phishing après le passage du filtre 

En matière de phishing (phishing ciblé), les cybercriminels font également preuve de plus en plus d’intelligence pour faire évoluer leurs techniques. Ainsi, certains cybercriminels envoient des e-mails de phishing utilisant des liens URL activables à distance, une fois les outils de filtrage franchis. Cette technique permet aux e-mails de phishing de franchir le filtrage sans être détectés puisque les liens URL renvoient vers un contenu totalement légitime. Ce n’est qu’une fois les barrières franchies que les hackers vont les activer pour les faire renvoyer vers des sites de phishing frauduleux.

Cette technique de plus en plus utilisée est très efficace mais cependant encore peu répandue car elle n’est techniquement pas à la portée de tous les hackers.

Le hacking s’est fortement industrialisé ces dernières années. Les techniques utilisées pour diffuser du spam massivement et des virus sont de plus en plus intelligentes et dangereuses pour les entreprises. Pour se protéger mieux, l’éducation et la formation des utilisateurs sont des axes primordiaux d’où l’importance de rappeler quelques règles de base :  

  • N'ouvrir les pièces jointes suspectes (fichiers .zip, .xls ou .doc.) que si l'expéditeur est confirmé.
  • Supprimer le message d'un expéditeur suspect inconnu sans y répondre.
  • Refuser de confirmer l'accusé de réception dans le cas d'un expéditeur inconnu suspect. Cela risquerait de valider et diffuser l’adresse e-mail de l’utilisateur à son insu.
  • Remonter les emails identifiés comme spam auprès de son service informatique. Ils seront ensuite transmis à l'entreprise chargée de la protection des messageries pour une prise en compte dans la technologie de filtrage.
  • Et en cas de doute, contacter son service informatique.