Les attaques de phishing, de ransomwares et de leurs variantes, telles que le harponnage (spearphishing) et l’arnaque au président (Business Email Compromise) sont de plus en plus courantes et ont des effets dévastateurs sur les entreprises de toutes tailles.
L’impact financier réel de la cybercriminalité en général, du phishing et des ransomwares en particulier, est difficile à évaluer, mais, selon le FBI, les pertes liées aux escroqueries de type BEC (Business E-mail Compromise), connues également sous le nom de fraude aux comptes de messagerie, ou attaque de whaling, ont atteint 1,3 milliard de dollars en 2018 (vingt fois plus qu’en 2014, avec 60 millions de dollars). Ces e-mails exploitent l’ingénierie sociale et les demandes urgentes veulent inciter les employés à effectuer des virements bancaires électroniques ou à partager des informations sensibles.
La surdose d’informations réduit la vigilance
Le succès des tentatives d’hameçonnage et d’infiltration par des ransomwares dépend d’un certain nombre de facteurs, notamment : la naïveté ou le manque de méfiance des victimes, lorsqu’elles reçoivent des e-mails ou font face à d’autres pièges tendus par des cybercriminels, la quantité et la qualité de la formation qu’elles ont suivie, la qualité de l’infrastructure de sécurité de leur organisation et la quantité d’informations qu’elles peuvent rassembler pour lutter contre les attaques potentielles. Beaucoup d’utilisateurs sont en « surdose d’informations », ils sont moins susceptibles de vérifier prudemment les tentatives d’hameçonnage.
De nombreux utilisateurs partagent trop d’informations sur les réseaux sociaux et donnent ainsi des renseignements, que les cybercriminels peuvent utiliser pour créer des e-mails personnalisés et plus crédibles, donc plus difficiles à détecter. En outre, les cybercriminels créent du contenu de plus en plus pertinent, afin de tromper les utilisateurs et de contourner les technologies de détection.
L’utilisation de logos, le ton professionnel des messages, ainsi que la personnalisation du contenu, rendent les tentatives d’hameçonnage plus convaincantes. Ainsi, les victimes potentielles sont plus susceptibles de cliquer sur les liens et les pièces jointes contenus dans les e-mails.
Une détection difficile
Certaines solutions anti-hameçonnage et anti-ransomwares ne s’appuient pas sur des ressources d’intelligence en temps réel suffisantes sur les attaques par e-mail, et ne peuvent donc pas détecter les dernières techniques utilisées par les spécialistes du phishing et des ransomwares. De nombreux utilisateurs ne sont pas assez formés sur le phishing et les ransomwares, ainsi que sur les meilleures pratiques de gestion des menaces non connues.
En fait, beaucoup d’entre eux ne font pas preuve de vigilance lorsqu’ils reçoivent des messages les incitant à effectuer des actions telles que virer des fonds, ouvrir des pièces jointes ou transmettre des informations sensibles.
Des exploit kits, comme ceux utilisés pour infecter des victimes avec des ransomwares, ne nécessitent que des connaissances limitées de la part des cybercriminels. Ces kits, qui exploitent les vulnérabilités d’une large gamme de logiciels disponibles sur le marché, intègrent des logiciels malveillants clés en mains, disponibles soit à la vente soit en location. S’il peut être coûteux d’acheter directement ces exploit kits, ils peuvent être loués pour seulement 500 $ par mois.
Vers une segmentation des attaques
Étant donné la facilité avec laquelle les cybercriminels non-initiés peuvent pénétrer le marché, l’écosystème des ransomwares va progressivement se scinder en deux segments distincts. D’un côté, les ransomwares d’entrée de gamme, qui demandent une rançon de quelques centaines de dollars et sont envoyés par des amateurs et d’autres criminels de faible envergure, en utilisant des techniques classiques d’hameçonnage.
Et de l’autre, les ransomwares « haut de gamme » envoyés par des cybercriminels plus sophistiqués, qui visent des cibles à fort potentiel dans des secteurs tels que la santé, les services financiers ou les assurances, capables de payer des sommes importantes pour récupérer leurs données chiffrées. Le phishing, et plus particulièrement les ransomwares, ne cibleront plus à terme que les entreprises, délaissant les particuliers, moins rémunérateurs.
Comment ça marche ?
- Des menaces peuvent rester inactives sur une période prolongée et sont moins susceptibles d’être détectées par de nombreuses solutions habituelles anti-hameçonnage et anti-ransomwares.
- Certains types de logiciels malveillants peuvent détecter s’ils ont été placés dans une « sandbox » (bac à sable) et ils ne s’exécuteront qu’une fois qu’ils n’y seront plus.
- Certains cybercriminels coordonnent leurs attaques sur plusieurs lieux de diffusion, notamment les e-mails, les réseaux sociaux, les navigateurs Web, les fichiers, etc.
- Un logiciel malveillant peut en diriger un autre qui semble inoffensif.
- Certains logiciels malveillants nécessitent une interaction avec l’utilisateur (par exemple, cliquer sur un bouton d’une boîte de dialogue) avant de s’activer et détecteront si l’utilisateur clique sur le bouton dans une « sandbox ».