Focus sur les menaces : les comptes malveillants liés aux attaques BEC

Méfiez-vous des cybercriminels qui créent des comptes à l'aide d'une adresse e-mail légitime afin de lancer des attaques par usurpation d'identité et compromission de la messagerie en entreprise (Business Email Compromise ou BEC).

Depuis début 2020, les chercheurs de Barracuda ont identifié 6 170 comptes malveillants qui utilisent Gmail, AOL et autres services de messagerie électronique. Ces comptes ont été reconnus responsables de plus de 100 000 attaques BEC contre près de 6 600 entreprises. En fait, depuis le 1^er avril, les comptes malveillants sont à l'origine de 45 % des attaques BEC détectées.

Plus de 6 000 comptes malveillants qui utilisent Gmail, AOL ou autre #service de messagerie électronique étaient responsables de plus de 100 000 #attaques BEC contre près de 6 600  entreprises Cliquer pour tweeter

Dans cet article, nous nous penchons sur la façon dont les cybercriminels lancent leurs attaques à l'aide de ces comptes. Nous examinerons ensuite les solutions qui visent à protéger votre entreprise en détectant, bloquant et répondant à ces menaces en constante évolution.

Menaces particulièrement importantes

comptes malveillants — Les cybercriminels créent des comptes de messagerie auprès de services légitimes afin de lancer des attaques par usurpation d'identité ou compromission de la messagerie en entreprise. Ils rédigent des messages soignés et, dans la plupart des cas, utilisent ces comptes à quelques reprises seulement afin d'éviter d'être repérés ou bloqués par les fournisseurs de service de messagerie électronique. Chacune des adresses e-mail utilisées dans le cadre d'attaques BEC est définie comme un compte malveillant et fournit des informations sur la façon dont les cybercriminels utilisent ces comptes dans leurs stratagèmes.

Les détails

Les comptes malveillants représentent 45 % de toutes les attaques détectées depuis le 1^er avril 2020. Ces récidivistes organisaient des attaques multiples qui ciblaient plusieurs entreprises en utilisant un seul et même compte.  

Pour créer leurs comptes malveillants, le service de messagerie de prédilection employé par les cybercriminels est Gmail. Étant donné que ce service est accessible, gratuit, que l'inscription est sommaire et qu'il est suffisamment connu pour passer entre les mailles des filtres de sécurité des e-mails, ce choix est tout à fait logique.

Pour leurs tentatives d'usurpation d'identité, les pirates utiliseront plusieurs fois la même adresse e-mail, mais n'auront qu'à changer le nom d'affichage.

Dans la plupart des cas, les cybercriminels n'utiliseront leurs comptes malveillants que pendant une courte période. En effet, nous avons constaté que 29 % des comptes malveillants restaient actifs pour une période de 24 heures seulement. Le caractère éphémère de ces comptes s'explique de plusieurs façons :

• Les comptes malveillants peuvent être signalés et suspendus par les fournisseurs de messagerie électronique
• Créer de nouveaux comptes est une opération très simple pour les cybercriminels
• Une fois leurs premières attaques lancées, les cybercriminels peuvent décider d'abandonner ces comptes pour les réactiver après une longue période d'inactivité.

Bien que la plupart des comptes malveillants soient habituellement utilisés par les pirates pendant une brève période, certains cybercriminels utilisaient ces comptes pour lancer leurs attaques pendant plus d'un an. Il n'est pas inhabituel qu'un cybercriminel réactive et réutilise une adresse e-mail après une longue période d'inactivité afin de lancer des attaques.

Par nature, les attaques BEC sont des attaques extrêmement ciblées. Après une période initiale de recherches, les cybercriminels s'attèleront à se faire passer pour un employé ou un partenaire de confiance via une attaque par e-mail. L'e-mail sert généralement à établir le premier contact et à développer la confiance. Les pirates s'attendront à recevoir des réponses à leurs attaques BEC. C'est pourquoi ces attaques représentent un volume relativement faible, mais sont hautement personnalisées afin de stimuler un taux de réponse élevé. Le nombre d'attaques par e-mail envoyées à partir d'un compte malveillant peuvent peut aller de un à plus de 600, la moyenne étant de 19.

En analysant les attaques lancées contre 6 600 entreprises, les chercheurs de Barracuda ont constaté que, dans de nombreux cas, les cybercriminels ont utilisé les mêmes adresses e-mail pour attaquer plusieurs entreprises. Chaque compte malveillant ciblait un nombre varié d'entreprises : entre une et 256  à la fois dans le cadre d'une seule attaque à grande échelle, soit 4 % de toutes les entreprises participant à l'étude.

Comment protéger votre entreprise contre les comptes malveillants

• Investissez dans une solution qui vous protègera contre les attaques BEC. Les cybercriminels conçoivent leurs attaques BEC de façon à ce qu'elles échappent aux passerelles de messagerie. C'est pour cette raison que chaque compte malveillant n'est utilisé que pour un nombre restreint d'attaques. Tirez parti de l'intelligence artificielle pour identifier les expéditeurs, les demandes et autres communications inhabituelles qui permettent de repérer les attaques BEC et autres types de fraude.
• Bloquez les messages provenant de comptes malveillants. Il n'est pas toujours facile d'identifier les comptes utilisés par les pirates. Les cybercriminels utilisent des techniques telles que l'usurpation d'e-mail (spoofing), qui permettent de masquer l'identité du compte réellement utilisé dans une attaque. Compte tenu du faible volume d'attaques lancées à partir d'un compte malveillant unique, il est peu probable qu'une même entreprise sera ciblée deux fois par ce même compte. Il est possible d'améliorer le niveau de protection en collaborant avec un fournisseur qui a la capacité de partager en temps réel ce type de renseignements sur les menaces avec d'autres entreprises.
• Formez vos utilisateurs à reconnaître les attaques de phishing ciblées. La formation des utilisateurs doit faire partie intégrante de votre stratégie de sécurité. Assurez-vous que vos employés sachent reconnaître des messages provenant d'une source externe à votre entreprise et informez-les des tactiques les plus récentes employées par les cybercriminels.