géographie du phishing

Threat Spotlight : les caractéristiques géographiques et réseau des attaques de phishing

Version imprimable, PDF et e-mail

Le pays d'où proviennent les e-mails et le nombre de pays qu'ils traversent avant d'arriver à leur destination finale sont des signes précurseurs importants d'une attaque de phishing.

Il y a peu, Barracuda s'est associé à des chercheurs de l'université Columbia afin d'analyser le pays de provenance des e-mails de phishing ainsi que la façon dont ils sont acheminés. En examinant la géolocalisation et les infrastructures réseau de plus de 2 milliards d'e-mails (dont 218 000 e-mails de phishing) envoyés en janvier 2020, nous avons constaté que la plupart des e-mails de phishing proviennent de certains pays d'Europe de l'Est, d'Amérique centrale, du Moyen-Orient et d'Afrique, et passent par un plus grand nombre d'endroits que les e-mails inoffensifs.

géographie des attaques de phishing

Nous avons également découvert qu'une partie étonnamment grande des attaques proviennent de fournisseurs de services cloud importants et légitimes. Cela pourrait s'expliquer par le fait que les pirates parviennent à compromettre des serveurs et/ou des comptes e-mail légitimes hébergés par ces fournisseurs.

Voyons de plus près l'impact de la géographie et des infrastructures réseau sur les attaques de phishing ainsi que les solutions permettant de les détecter, de les bloquer et de réparer leurs éventuels dégâts.

Menaces particulièrement importantes

Caractéristiques réseau et de géolocalisation des attaques de phishing — Lors des attaques de phishing, les pirates utilisent des tactiques de social engineering pour inciter les victimes à fournir des informations personnelles, telles que leur nom d'utilisateur, leur mot de passe, le numéro de leur carte bancaire ou leurs coordonnées bancaires. La détection du phishing se concentre principalement sur le contenu des e-mails de phishing et le comportement des pirates. Cependant, à mesure que la complexité des attaques de phishing s'intensifie, les personnes chargées de les contrer doivent employer des méthodes de plus en plus sophistiquées.

Notre équipe de recherche a examiné les caractéristiques réseau des e-mails de phishing, car les fonctionnalités réseau sont plus persistantes et difficiles à manipuler pour les pirates. Nous avons extrait des adresses IP des champs « reçu » des en-têtes d'e-mails, qui enregistrent des informations concernant les serveurs traversés pendant le transit. En étudiant ces données, nous avons obtenu des informations sur le parcours d'un e-mail de phishing, de son expéditeur jusqu'à ses destinataires.

Les détails

Nous avons tiré trois grandes conclusions de notre analyse :

1. Les e-mails de phishing sont plus susceptibles de traverser différents pays.

Plus de 80 % des e-mails inoffensifs traversent au maximum deux pays, tandis ce chiffre tombe à un peu plus de 60 % pour les e-mails de phishing. Pour être plus efficaces, les classificateurs de détection du phishing devraient donc se pencher sur le nombre de pays différents par lesquels un e-mail transite.

géographie des attaques de phishing

2. Les pays où la probabilité de phishing est la plus élevée se trouvent en Europe de l'Est, en Amérique centrale, au Moyen-Orient et en Afrique.

Nous avons déterminé la probabilité de phishing du pays de l'expéditeur en identifiant ce pays à l'aide des données de géolocalisation et en calculant la probabilité de phishing de chaque pays ainsi :

géographie du phishing

Certains pays d'où proviennent de nombreux e-mails de phishing présentent une probabilité de phishing extrêmement faible. À titre d'exemple, dans la base de données, 129 369 e-mails de phishing étaient envoyés des États-Unis, alors que la probabilité de phishing dans ce pays n'est que de 0,02 %. En règle générale, la probabilité de phishing de la plupart des pays était inférieure ou égale à 10 %.

Les expéditeurs présentant un volume d'e-mails de phishing (plus de 1 000 e-mails de la base de données) et une probabilité de phishing plus élevés provenaient, entre autres, de ces pays ou territoires (par ordre décroissant) :  

  • Lituanie
  • Lettonie
  • Serbie
  • Ukraine
  • Russie
  • Bahamas
  • Porto Rico
  • Colombie
  • Iran
  • Palestine
  • Kazakhstan

Bien qu'il ne serait pas raisonnable de bloquer l'intégralité du trafic d'e-mails provenant des pays dont la probabilité de phishing est importante, signaler les e-mails issus de ces pays afin de les analyser plus en profondeur pourrait être utile.

3. Une grande partie des réseaux depuis lesquels les pirates initient leurs attaques sont des fournisseurs de services cloud étonnamment importants et légitimes.

Chose surprenante, les réseaux présentant le plus grand nombre d'attaques de phishing appartiennent à d'importants fournisseurs de services cloud. Ce n'est pas illogique quand on sait qu'ils affichent également le plus important volume total d'e-mails envoyés. Dans le cas de ces réseaux, la probabilité qu'un e-mail soit un e-mail de phishing est très faible (figure 3). La plupart des attaques provenant de ces réseaux sont probablement causées par des comptes e-mail ou des serveurs compromis, suite à l'obtention de leurs identifiants par les pirates.

Classement selon le volume d'e-mails de phishing Propriétaire du réseau Probabilité des e-mails de phishing
1 Amazon 0,000224
2 Microsoft 0,000429
3 Amazon 0,000124
4 Twitter 0,00212

Figure 3 : les 4 premiers réseaux en volume d'envoi d'e-mails, ainsi que des informations sur leur propriétaire, leur classement et la probabilité qu'un e-mail provenant de ces réseaux soit un e-mail de phishing.

Nous avons également constaté que les pirates les plus prolifiques (par réseau) présentant en plus une probabilité de phishing élevée proviennent de réseaux appartenant à des fournisseurs de services cloud (Rackspace, Salesforce). Ces réseaux affichent un trafic total d'e-mails bien inférieur à celui des deux premiers réseaux, mais ils envoient malgré cela une quantité importante d'e-mails de phishing. La probabilité qu'un e-mail provenant de ces réseaux soit malveillant est donc bien plus élevée (figure 4).

Classement selon le volume d'e-mails de phishing Propriétaire du réseau Probabilité des e-mails de phishing
9 LayerHost 0,277
13 UnrealServers 0,334
17 REG.RU 0,836
18 Cherry Servers 0,760
20 Rackspace 0,328

Figure 4 : exemples de réseaux présentant un volume d'e-mails de phishing et une probabilité de phishing élevés, ainsi que des informations sur leur propriétaire, leur classement et la probabilité qu'un e-mail provenant de ces réseaux soit un e-mail de phishing.

Se protéger face aux attaques de phishing

Optez pour des solutions qui exploitent l'intelligence artificielle
Les cybercriminels modifient leurs tactiques pour contourner les passerelles e-mail et les filtres anti spam. Il est donc crucial de disposer d'une solution de détection et de protection contre les attaques de spear phishing, notamment l'usurpation de marque, la compromission de la messagerie en entreprise et le piratage de compte. Déployez une solution ne reposant pas uniquement sur la détection de liens ou de pièces jointes malveillants, et utilisez le machine learning pour analyser les schémas de communication classiques au sein de votre entreprise pour repérer toute anomalie indiquant potentiellement une attaque.

Mettez en œuvre une protection contre le piratage de comptes
Ne vous focalisez pas uniquement sur les e-mails entrants. En effet, les attaques de spear phishing les plus dévastatrices et réussies ont été perpétrées depuis des comptes internes compromis. Empêchez les pirates d'utiliser votre entreprise comme camp de base pour lancer des campagnes de spear phishing. Déployez une technologie qui utilise l'intelligence artificielle pour identifier les comptes compromis et corriger les problèmes en temps réel, en alertant les utilisateurs et en supprimant les e-mails malveillants envoyés par ces comptes.

Sensibilisez à la sécurité grâce à des formations
Informez vos utilisateurs des dernières tactiques et attaques de spear phishing. Sensibilisez les utilisateurs grâce à des formations à jour et veillez à ce que votre personnel soit à même de reconnaître les dernières attaques et sache comment les signaler immédiatement à l'équipe informatique. Utilisez des simulations de phishing pour les e-mails, les messages vocaux et les SMS afin de former les utilisateurs à identifier les cyberattaques, de tester l'efficacité de la formation et d'évaluer quels sont les utilisateurs les plus vulnérables.

Rapport gratuit « Spear phishing : Menaces et tendances principales »

Ce focus sur les menaces a été écrit par Liane Young, qui a bénéficié pour ses recherches de l'aide d'Elisa Luo, des professeurs Asaf Cidon et Ethan Katz-Bassett, et du conseiller Grant Ho.

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager