
Threat Spotlight : 3 nouvelles techniques de phishing
Alors que les cybercriminels s'efforcent de perfectionner les attaques par hameçonnage, ils introduisent continuellement de nouvelles techniques et tactiques pour tenter de tromper les victimes, de contourner la sécurité et d'éviter d'être détectés.
Après avoir analysé les données relatives aux e-mails de phishing bloqués par les systèmes Barracuda au cours du mois de janvier 2023, les chercheurs de Barracuda ont identifié trois nouvelles techniques de phishing utilisées par les cybercriminels : les attaques utilisant des liens Google Translate, les attaques impliquant des pièces jointes et l'utilisation de caractères spéciaux.
Bien que le nombre de ces attaques soit très faible, chaque attaque représente moins de 1 % des attaques par hameçonnage détectées par les classificateurs d'apprentissage automatique de Barracuda, elles sont très répandues, chacune impactant 11 à 15 % des entreprises. Il y a donc de fortes chances que de nombreuses organisations soient victimes de l'un de ces messages malveillants avant la fin de l'année.
Il est important de noter que les systèmes basés sur des passerelles n'offrent que peu ou pas de protection contre ces types d'attaques et qu'il faudrait procéder à de nombreux réglages et définir des règles pour protéger les clients. Ces attaques sont de nature plus dynamique, la charge utile pouvant changer au moment de la distribution, comme on le voit notamment dans les attaques impliquant le service Google Translate.
Voyons voir de plus près ces trois nouvelles techniques, comment celles-ci sont utilisées par les cybercriminels pour éviter d'être détectés et comment vous protéger de ce type d'attaque.
Attaques impliquant des liens Google Translate
Nos chercheurs constatent un nombre croissant d'attaques par e-mail qui utilisent les services de Google Translate pour dissimuler des URL malveillantes. Alors que seulement 0,7 % des attaques par hameçonnage détectées par les classificateurs d'apprentissage automatique de Barracuda impliquaient des liens Google Translate, 13 % des entreprises ont déjà été victimes de ce type d'attaque. En moyenne, une entreprise reçoit environ huit e-mails de ce type par mois.

Les pirates utilisent la fonction Google Website Translate pour envoyer des URL hébergées par Google dans des e-mails qui renvoient finalement à des sites de phishing. Ce type d'attaque est communément appelé « phishing via Google Translate » ou simplement « phishing basé sur la traduction » ou « attaque trompeuse impliquant la traduction ». Dans ce type d'attaque, le pirate s'appuie sur un service de traduction pour tromper la victime et cacher la véritable URL malveillante. Google Translate est le service le plus utilisé, mais nos analystes en sécurité ont également constaté que des attaques similaires étaient hébergées sous le couvert d'autres moteurs de recherche populaires.
Ces attaques sont difficilement détectables car elles contiennent des URL correspondant à un site légitime. De nombreuses technologies de filtrage des e-mails permettent à ces attaques de se répandre dans les boîtes de réception des utilisateurs. Lorsqu'ils cliquent sur les URL, les utilisateurs sont redirigés vers un site web trompeur mais d'apparence authentique.

Les pirates utilisent des services de traduction pour traduire une URL anodine qu'ils envoient ensuite à leurs victimes. Les pirates modifient la charge utile en contenu malveillant après l'envoi de l'e-mail, de sorte que les systèmes de sécurité installés n'offrent qu'une faible protection. Les pirates utilisent également des pages HTML mal formatées ou une langue non prise en charge pour échapper au processus de traduction. Dans ce cas, Google fournira simplement un lien vers l'URL d'origine indiquant qu'il n'est pas en mesure de traduire le site web en question. Les utilisateurs qui cliquent par erreur sur la page seront redirigés vers un site web tenu par le pirate.
Attaques impliquant des pièces jointes (images)
Les attaques basées sur des images sont souvent utilisées par les spammeurs ; cependant, les pirates commencent également à utiliser des images, sans aucun texte, dans leurs attaques par hameçonnage. Ces images contiennent souvent un lien ou un numéro de téléphone à rappeler qui mène à une opération de phishing.
Alors que seulement 0,2 % des attaques par hameçonnage détectées par les classificateurs d'apprentissage automatique de Barracuda étaient des attaques par pièces jointes, 11 % des entreprises ont déjà été victimes de ce type d'attaque. En moyenne, une entreprise reçoit environ deux e-mails de ce type par mois.

Comme ces attaques ne comportent pas de texte, la sécurité classique d'Email Security Gateway n'est pas efficace pour les détecter, ce qui permet aux pirates de parvenir à leurs fins.
La plupart des attaques par pièces jointes détectées jusqu'à présent par les systèmes Barracuda concernaient de fausses factures, comme dans l'exemple ci-dessous.

Récemment, ces types d'attaques sont devenus plus connus sous le nom de « phishing par image » ou « phishing image ». Elles sont de plus en plus populaires car les utilisateurs sont souvent plus enclins à faire confiance à une image qui semble provenir d'une source légitime. Les mesures de sécurité des e-mails étant de plus en plus perfectionnées, les cybercriminels ont dû mettre au point de nouvelles techniques pour éviter de se faire repérer. Les attaques par hameçonnage basées sur des images se sont révélées être une technique efficace pour contourner ces mesures. L'utilisation d'attaques par hameçonnage basées sur des images s'est considérablement développée au cours de la dernière décennie, et il est probable qu'elle reste une technique populaire auprès des cybercriminels à l'avenir.
Utilisation de caractères spéciaux lors des attaques
Les pirates utilisent souvent des caractères spéciaux, tels que les points de code Unicode zero-width, la ponctuation, les caractères non latins ou les espaces, pour éviter d'être repérés. Alors que seulement 0,4 % des attaques par hameçonnage détectées par les classificateurs d'apprentissage automatique de Barracuda ont utilisé ce type d'attaque, les chercheurs de Barracuda ont constaté que 15 % des entreprises avaient reçu des e-mails de phishing qui employaient des caractères spéciaux à cette fin. En moyenne, une entreprise reçoit environ quatre e-mails de ce type par mois.

La détection de ces attaques peut s'avérer très complexe car il existe des raisons légitimes d'utiliser des caractères spéciaux, par exemple dans les signatures d'e-mails. Une solution de sécurité des e-mails qui utilise l'apprentissage automatique pour distinguer l'usage frauduleux de l'usage anodin des caractères spéciaux est le meilleur moyen de prévenir efficacement ces menaces de se répandre.
L'exemple ci-dessous illustre plusieurs caractères zero-width utilisés par les pirates. Ces caractères ne sont pas visibles de l'utilisateur qui reçoit le message, mais ils le sont dans le code HTML.

Ces types d'attaques sont communément appelés « attaques par homographe » ou simplement « attaques de type zero-width space ». Ce type d'attaque était couramment employé dans le cadre du typo-squatting, où un pirate enregistre un domaine semblable avec des caractères spéciaux pour escroquer les destinataires. Toutefois, ces derniers temps, ils sont de plus en plus courants dans le corps des e-mails afin de tromper le destinataire et de lui faire croire qu'il reçoit des e-mails provenant d'une source légitime.
Il existe plusieurs autres attaques similaires à ces techniques, que nous aborderons plus en détail dans de futurs articles.
- Attaques Punycode : comme les caractères spéciaux ou de type « zero-width », les attaques Punycode utilisent des caractères non ASCII dans les noms de domaine pour créer de fausses URL qui semblent identiques à des sites web légitimes et qui trompent les utilisateurs en leur faisant saisir leur nom d'utilisateur et leur mot de passe, ou leur numéro de carte de crédit.
- Attaques par spoofing d'URL : ces attaques s'appuient sur des domaines similaires qui peuvent ne pas être entièrement identiques à des sites web ou des entreprises légitimes. Tout comme les attaques Punycode, les pirates créent des formulaires de connexion dans lesquels les utilisateurs saisissent par erreur leurs identifiants ou sont invités à télécharger des fichiers prétendument sécurisés, qui installent des ransomwares ou des malwares sur leur appareil.
- Attaques par typo-squatting : il s'agit d'une technique assez courante contre laquelle les produits Gateway offrent une protection adéquate. Ainsi, une attaque pourrait enregistrer un nom de domaine tel que yahooo.com pour imiter le vrai site web Yahoo!.
- Technique dite « du point d'eau » : dans ce type d'attaque, les cybercriminels ciblent délibérément un groupe d'utilisateurs via un site compromis, dont on sait que le public cible le consulte. Les pirates injecteront un code malveillant dans la page web et l'utiliseront pour voler des identifiants ou d'autres informations sensibles, voire pour installer des malwares ou des ransomwares.
Comment se protéger contre ces nouvelles attaques par hameçonnage
- Assurez-vous que votre solution de protection des e-mails analyse et bloque les pièces jointes et les liens malveillants. Celles-ci peuvent être difficiles à identifier de manière précise et la détection produit souvent un grand nombre de faux positifs. Les meilleures solutions comprendront une analyse par apprentissage automatique qui tiendra compte du contexte de l'image, de l'objet des e-mails et des statistiques de l'expéditeur, afin de déterminer s'il s'agit ou non d'une attaque.
- Formez vos utilisateurs à identifier et à signaler les attaques potentielles. Les attaques par hameçonnage évoluent constamment, il est donc important de tenir vos utilisateurs informés des nouveaux types d'attaques. Intégrez des exemples de ces attaques dans vos campagnes de simulation de phishing et formez les utilisateurs à toujours réfléchir à deux fois avant de cliquer sur un lien ou de partager leurs identifiants de connexion.
- Si un e-mail malveillant arrive quand même à se frayer un chemin jusqu'à vos boîtes mail, veillez à ce que vos outils de remédiation post-livraison soient prêts à identifier rapidement et supprimer toute instance de l'e-mail malveillant de toutes les boîtes mail concernées.La réponse automatique aux incidents peut vous aider à le faire rapidement, avant que les attaques ne se répandent dans toute l'organisation. La protection contre le piratage de compte peut surveiller et vous alerter de toute activité suspecte sur un compte, si les identifiants de connexion risquent d'être compromis.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter