Barracuda full logo

Threat Spotlight : le détournement de conversations

Thèmes:
16 janv. 2020
|
Don MacLennan

Méfiez-vous des cybercriminels qui utilisent le détournement de conversations pour voler de l'argent et des informations personnelles sensibles.

Ces derniers mois, les chercheurs de Barracuda ont constaté une forte augmentation des attaques par usurpation d’identité de domaine utilisées pour faciliter le détournement de conversation. Une analyse d'environ 500 000 attaques mensuelles des e-mails a également démontré une hausse de 400 % des attaques d'usurpation du nom de domaine, utilisées dans le même objectif. En juillet 2019, environ 500 attaques de ce type par usurpation d'identité de domaine ont été recensées dans les e-mails analysés, et ce nombre est passé à plus de 2 000 en novembre.

In recent months, Barracuda researchers have seen a 400% increase in #DomainImpersonation attacks used to facilitate #ConversationHijacking
Click To Tweet





Bien que le volume de détournement de conversations lors d'attaques d'usurpation de nom de domaine soit bien moins fréquent que d'autres types d'attaques par hameçonnage, leur aspect sophistiqué fait d'elles des attaques très personnalisées, les rendant efficaces, difficiles à détecter et relativement coûteuses pour les victimes.

Voici un aperçu de la menace croissante que représente le détournement de conversations dans le cadre d'attaques par usurpation d'identité de domaine, ainsi que des conseils pour protéger votre entreprise.

Menaces particulièrement importantes

Détournement de conversation  Les cybercriminels s’immiscent dans les conversations professionnelles existantes ou en lancent de nouvelles en fonction des informations qu’ils ont recueillies à partir de comptes de messagerie compromis ou d’autres sources. La plupart du temps, le détournement de conversations s'inscrit dans une attaque de piratage de comptes. Les pirates passent du temps à lire les e-mails et à surveiller le compte compromis pour comprendre les opérations commerciales et se renseigner sur les transactions en cours, les procédures de paiement et d'autres détails.

Les cybercriminels utilisent rarement les comptes compromis pour détourner des conversations. Au lieu de cela, les pirates utilisent l’usurpation d’identité du domaine de messagerie. Ils exploitent les informations des comptes compromis, y compris les conversations internes et externes entre les employés, les partenaires et les clients, pour élaborer des messages convaincants, les envoyer à partir de domaines usurpés et inciter les victimes à virer de l'argent ou à mettre à jour leurs informations de paiement.

To execute #ConversationHijacking attacks, cybercriminals use domain impersonation, including #typosquatting techniques
Click To Tweet

 

Les détails


Les cybercriminels passent du temps à planifier le détournement de conversations avant de lancer des attaques. Ils ont recours au piratage de comptes ou font des recherches sur l'organisation cible pour comprendre les transactions commerciales et préparer leurs attaques.

Pour lancer des attaques de détournement de conversations, les cybercriminels ont recours à l'usurpation d'identité de domaine, notamment à des techniques de typosquattage, telles que le remplacement d'une lettre d'une URL légitime par une lettre similaire, ou l'ajout d'une lettre discrèté à l'URL légitime. Pour pouvoir passer à l'attaque, les cybercriminels créent ou achètent le nom de domaine utilisé pour l'usurpation.

Les attaques par usurpation de nom de domaine ont des conséquences lourdes. On ne remarque souvent pas les différences subtiles entre l'URL légitime et l'URL usurpé.Par exemple, un pirate qui essaie de se faire passer pour barracudanetworks.com utiliserait une URL très similaire :

  • barracudanetwork.com 
  • barracadanetworks.com 
  • barracudaneteworks.com
  • barrracudaneteworks.com

Parfois, un pirate modifie le domaine de premier niveau (TLD), en utilisant .net ou .co au lieu de .com, pour tromper les victimes :

  • barracudanetworks.net
  • barracudanetworks.co

Voici un exemple de cybercriminels se faisant passer pour un domaine interne :



Dans d’autres cas, les pirates se font passer pour le domaine externe d’un client, d’un partenaire ou d’un fournisseur :



Les cybercriminels investissent beaucoup de temps, d’efforts et d’argent pour enregistrer un domaine usurpé et détourner une conversation. Les pirates n'utilisent pas toujours les comptes de messagerie compromis pour réaliser les attaques par usurpation d'identité, car le propriétaire du compte compromis est plus susceptible de remarquer la communication frauduleuse. De plus, les comptes ne restent généralement pas piratés pendant une longue période, mais le détournement de conversations peut impliquer des semaines de communication continue entre le pirate et la victime. En conséquence, en utilisant l'usurpation de domaine, les pirates extraient les conversations du cadre de l'entreprise. Ils peuvent ainsi lancer des attaques même si les comptes précédemment piratés ont été sécurisés et nettoyés.

En fin de compte, l’objectif de ces pirates est d’inciter les victimes à transférer de l’argent, à effectuer un paiement quelconque ou à modifier les détails de paiement. L’usurpation d’identité de domaine et le détournement de conversation nécessitent un investissement en temps et en argent de la part du pirate. Du point de vue du pirate, cependant, le coût en vaut la peine car ces attaques personnalisées réussissent souvent mieux à tromper les victimes que d'autres attaques par hameçonnage moins sophistiquées.

Se protéger contre le détournement de conversations


Utilisez diverses technologies et techniques de cybersécurité pour protéger votre entreprise contre le détournement de conversations :

Formez vos employés à reconnaître et à signaler les attaques
Dans le cadre d'une formation de sensibilisation à la sécurité, informez les utilisateurs sur les attaques par e-mail, y compris le détournement de conversation et l'usurpation d'identité de domaine. Assurez-vous que les employés sachent reconnaître les attaques, comprendre leur nature frauduleuse et les signaler. Utilisez des simulations d'hameçonnage pour former les utilisateurs à identifier les cyberattaques, tester l'efficacité de la formation et évaluer quels sont les utilisateurs les plus vulnérables.

Déployez une protection contre les piratages de compte
De nombreuses attaques de détournement de conversations commencent par un piratage de compte, alors assurez-vous que les scammers n'utilisent pas votre organisation pour les lancer. Utilisez l'authentification multifactorielle pour fournir un niveau de sécurité supplémentaire au-delà du nom d'utilisateur et du mot de passe. Déployez une technologie qui identifie les comptes compromis et corrige les problèmes en temps réel, en alertant les utilisateurs et en supprimant les e-mails malveillants envoyés par ces comptes.

Surveillez les règles de la boîte de réception, les connexions aux comptes et les enregistrements de domaines.
Utilisez la technologie pour identifier les activités suspectes, notamment les connexions à partir de lieux et d'adresses IP inhabituels, signe potentiel d'un compte piraté. Veillez également à surveiller les comptes de messagerie pour vous assurer de l'absence de règles de boîte de réception malveillantes, souvent utilisées pour pirater des comptes. Les hackers se connectent au compte compromis, créent des règles de transfert et masquent ou suppriment les e-mails envoyés depuis ce compte afin d'effacer leurs traces. Gardez un œil sur les nouveaux enregistrements de domaines qui pourraient potentiellement être utilisés pour l’usurpation d’identité par le biais de techniques de typosquattage. De nombreuses organisations choisissent d'acheter des domaines étroitement liés au leur afin d'éviter toute utilisation frauduleuse par des cybercriminels.

Tirez parti de l'intelligence artificielle
Les scammers adaptent les tactiques par e-mails pour contourner les passerelles et les filtres anti-spam. Il est donc essentiel de mettre en place une solution qui utilise l'intelligence artificielle pour détecter et bloquer les attaques, y compris le piratage de comptes et l'usurpation d'identité de domaine. Déployez une technologie dédiée ne reposant pas uniquement sur la détection de liens ou de pièces jointes malveillants. Et utilisez le machine learning pour analyser les schémas de communication classiques au sein de votre entreprise et repérer toute anomalie indiquant potentiellement une attaque.

Renforcez vos politiques internes
Aidez vos employés à éviter les erreurs coûteuses en créant des instructions et des procédures pour confirmer toutes les demandes de virements et les modifications de paiement reçues par e-mail. Exigez pour toute transaction financière une confirmation physique ou par téléphone, ainsi que l’approbation de plusieurs personnes.

Bénéficiez d'une protection basée sur l'IA contre le spear phishing et le piratage de compte

Don MacLennan

En tant que vice-président senior, pour l'ingénierie et la protection des e-mails chez Barracuda, Don MacLennan dirige un groupe de professionnels passionnés qui conçoivent des produits et des services cloud pour la clientèle mondiale et les partenaires stratégiques de Barracuda. Son équipe s'occupe de la conception de l'expérience utilisateur, de la gestion des produits et de l'ingénierie. L'expérience de Don en matière de cybersécurité couvre plusieurs fournisseurs de services de cybersécurité pour les entreprises et les consommateurs, et il publie régulièrement des articles de blog sur les tendances technologiques et le leadership.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.