Barracuda full logo

Anatomie d'un piège antiphishing

Thèmes:
3 août 2022
|
Thorsten Stoeterau

Barracuda Email Protection ne se limite pas à Email Security Gateway. Elle comprend plusieurs fonctions de protection contre les menaces avancées, notamment une protection spécialement conçue pour garantir la protection des entreprises contre les attaques de phishing et de piratage de comptes.  Cette protection s'intègre directement à Microsoft 365 et opère discrètement en arrière-plan afin d'identifier les habitudes de communication propres à votre entreprise.  Cela lui permet d'identifier et de bloquer toute activité suspecte, telle qu'une attaque par spear-phishing.  Il s'agit d'une protection en temps réel contre les menaces e-mail qui parviennent à se frayer un chemin via les passerelles de sécurité classiques.

Pour illustrer son action et son importance, j'ai décortiqué une attaque de spear-phishing qui a été contrée par Barracuda Email Protection.  Nous avons masqué les informations afin de protéger la vie privée du client.

L'attaque

Cette attaque était dirigée contre le directeur financier du client. Il s'agit d'une tentative classique de collecte d'identifiants assortie d'une particularité intéressante : la page d'accueil du pirate est cryptée par SSL et accompagnée d'un certificat dûment signé par Microsoft. Même un utilisateur chevronné qui examinerait le certificat pourrait facilement se faire avoir.

Au moment de l'attaque, le client utilisait une passerelle autre que celle de Barracuda. La protection contre le phishing de Barracuda, anciennement connue sous le nom de Barracuda Sentinel, a été déployée en tant que solution anti-phishing distincte. Cette solution est désormais incluse dans Barracuda Email Protection.

Après que l'attaque ait contourné la passerelle du client, la solution Barracuda a détecté deux anomalies et a alerté l'administrateur qu'elle avait mis en quarantaine une attaque par spear-phishing contre le directeur financier :

 

L’en-tête de l’e-mail

L'attaque a été envoyée en dehors du locataire Microsoft 365 du client, mais elle a été envoyée depuis un autre compte Microsoft 365.  La solution de sécurisation des e-mails de la passerelle tierce du client a identifié ce message comme étant légitime et a permis à la menace de pénétrer le réseau.


Reçu : de xx-xxxx.xxxxxxxx.com (205.1xx.110.1xx) de BL2NAM02FT019.mail.protection.outlook.com (10.152.77.166) avec Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.1750.16 via Frontend Transport ; Jeudi 28 Mar 2019 18:51:15 +0000
Reçu : de yy.yy (80.2xx.x.116 [80.2xx.x.116]) (Avec TLS) par relay.xxxxxxxx.com avec ESMTP id us-mta-24-XXLzexyzxyzxyzCje8Q-1 ; Jeudi 28 Mar 2019 14:51:14 -0400
Reçu : yy.yy (localhost [127.0.0.1]) par yy.yy (8.14.4/8.14.4) avec ESMTP id x2SMZxxxx26782 pour <dxxx@voxxxx.yyy>; Jeudi 28 mars 2019 18:35:08 GMT
Reçu : (de root@localhost) par yy.yy (8.14.4/8.14.4/Submit) id x2SMZXYZXY780; Jeudi 28 mars 2019 18:35:07 GMT
Reçu-SPF : Pass (protection.outlook.com : domaine de
voxxxx.aaaa désigne 205.1xx.110.1xx comme expéditeur autorisé)
X-XX-Unique : XXLzexyzxyzxyzxyzCje8Q -1
X-XXXXXXXX-Spam-Score : 0

Comme vous pouvez le voir dans les parties d'en-tête ci-dessus, il y a plusieurs raisons qui pourraient expliquer comment cet e-mail a pu franchir la passerelle :

  • La vérification SPF a donné une réponse positive (« pass »). SPF, ou Sender Policy Framework, est une méthode d'authentification qui permet de lutter contre le détournement d'adresses e-mail.  Ce message ayant été envoyé depuis un autre compte Office 365, il n'a pas été détecté comme étant un faux domaine.
  • Il n'y avait pas de pièce jointe à caractère malveillant dans le message
  • Le message ne semblait pas être un spam et un score de spam de 0 lui a été attribué.

Comme vous pouvez le constater, les solutions de passerelle classiques ne peuvent tout simplement pas repérer tous les types de menaces e-mail.

Le site de collecte

J'ai créé un environnement de test afin de pouvoir évaluer le lien suspect inclus dans ce message.  Cette page web se présente sous la forme d'une page sécurisée ordinaire, tant dans Google Chrome que dans Microsoft Edge.  Aucun navigateur n'a signalé que le site était malveillant, probablement parce que nous avons détecté la menace avant qu'elle ne se soit répandue.

 

Google Chrome :

  Microsoft Edge :

 

Comme vous pouvez le voir dans l'URL, il s'agit d'un site web crypté par SSL. Et je le répète, elle n'est pas signalée comme étant une menace.

Un ennemi juré ?

Je n'ai pas reçu d'avertissement de certificat lorsque je suis entré sur ce site.  C'est un problème car cela signifie que mon ordinateur fait confiance à l'entité qui a signé le certificat de ce site web malveillant de collecte de données.  En jetant un coup d'œil au certificat, nous pouvons voir qu'il a été signé par Microsoft lui-même :

 

 

Pour résumer, une attaque des e-mails visant Microsoft 365 dirige les victimes vers un site de collecte d'identifiants doté d'un certificat SSL signé par Microsoft.

Comment est-ce possible ?

Les escrocs cherchent toujours de nouveaux moyens d'inciter un utilisateur peu méfiant à mordre à l'hameçon. Plus les scammers confèrent un caractère légitime à leurs e-mails, plus ils ont de chances de parvenir à leurs fins. Dans le cadre de l'offre cloud de Microsoft, les clients ont la possibilité de configurer un nom de domaine personnalisé pour les comptes de stockage Azure. Cette fonctionnalité a certes son utilité, mais comme vous le voyez ici, elle peut aussi être extrêmement utile aux pirates.

Que faire ?

Espérons que ce petit exemple saura nous rappeler quelques vérités fondamentales en matière de sécurité des e-mails :

  1. Sécuriser les e-mails au niveau de la passerelle n'est plus suffisant. Il est toujours important de tirer parti de la sécurité qu'offre la passerelle pour se protéger contre les attaques classiques (virus, ransomware de type 0-day, spam, etc.), mais elle est impuissante face aux attaques ciblées comme celle que nous avons évoquée ci-dessus.
  2. Les certificats SSL ne sont PAS synonymes de légitimité ou de sécurité d'un site web. Interrogez vos utilisateurs, et plus de 80 % d'entre eux vous diront qu'ils regardent le « cadenas » dans la barre d'adresse URL pour déterminer s'il s'agit d'un site web fiable. 10 % seront un peu plus prudents, et les 10 % restants s'en ficheront et cliqueront systématiquement dessus.
  3. Le moteur d'IA de Barracuda a repéré et éliminé cette menace.. Pour ce faire, il a utilisé un algorithme de traitement du langage naturel tenant compte du contexte, qui a pu immédiatement protéger le client contre cette attaque et bien d'autres.

Rendez-vous sur notre site web pour en savoir plus sur Barracuda Email Protection ou pour effectuer une analyse gratuite des menaces e-mail.

 

Remarque : cet article a été initialement publié en septembre 2020.





Thorsten Stoeterau

Thorsten est architecte de solutions chez Barracuda. Avant de rejoindre Barracuda, Thorsten a travaillé en tant qu'architecte grands comptes pour une compagnie de croisière en Floride, où il a eu l'occasion de découvrir Barracuda en tant que client et a décidé de rejoindre l'aventure.

Thorsten est né en Allemagne et y a vécu jusqu’en 2001, date à laquelle il est parti travailler en haute mer. Il a travaillé 6 ans en tant qu'administrateur informatique sur des paquebots de croisière modernes avant de s'installer sous le soleil de la Floride avec sa femme et ses 2 teckels.

Retrouvez-le sur LinkedIn ici.

Billets associés :
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
 Back to school, back to scams
Back to school, back to scams
 Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
 Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.