Microsoft, le terrain de jeu des cybercriminels – Série d'articles de blog
Cette publication consiste en une série d'articles de blog traitant de différents types d'attaques par email centrées sur les personnes que Microsoft ne parvient pas à détecter. Ces attaques coûtent aux entreprises des millions de dollars chaque année et provoquent la frustration tant des utilisateurs que des équipes chargées de la sécurité informatique, à cause des limites inhérentes et des technologies de détection obsolètes associées à la sécurité de la messagerie Microsoft. Cette série vous expliquera en détail, avec des exemples récents pour illustrer notre propos, comment Microsoft passe à côté de différents types d'attaques :
- Piratage de la messagerie en entreprise ou fraude par email
- Ransomware
- Risque pour la chaîne logistique
- Compromission de compte
- Partage de fichiers malveillants
Abonnez-vous à notre blog au bas de cette page pour recevoir des informations régulières sur les erreurs de non-détection susceptibles d'impacter votre entreprise et mieux comprendre le risque pour votre entreprise grâce à une évaluation des menaces.
Attaques BEC non identifiées par Microsoft
Le piratage de la messagerie en entreprise (BEC, Business Email Compromise) est un type de fraude par email qui représente l'une des menaces les plus graves pour les entreprises, tous secteurs et tailles confondus. Il éclipse d'ailleurs la plupart des autres catégories de cybercrimes en termes de dommages financiers.
Pour la seule année 2020, les attaques BEC ont coûté aux particuliers et aux entreprises près de 2 milliards de dollars et constitué 44 % des pertes financières totales, selon le rapport annuel sur la cybercriminalité de l'IC3 (Internet Crime Complaint Center) du FBI. Ce chiffre représente par ailleurs une hausse de 100 millions par rapport à 2019. D'autres recherches, comme l'Étude 2021 du Ponemon Institute sur le coût du phishing, font état de pertes moyennes directes et indirectes de l'ordre de près de 6 millions par an pour une grande entreprise, soit 40 % du coût total représenté par le phishing.
Figure 1. Proofpoint bloque plus de 15 000 messages BEC chaque jour.
Proofpoint détecte, en moyenne, environ 450 000 attaques BEC par mois. Le mois dernier, Proofpoint a détecté environ 2 100 menaces BEC qui ont éludé les défenses périmétriques de Microsoft, rien que dans un ensemble limité de données d'évaluations des menaces.
Chez un grand fabricant employant plus de 18 000 personnes, près de 300 attaques d'imposteurs ont été remises dans les boîtes de réception d'utilisateurs. Dans une université comportant 1 000 postes, Microsoft a laissé passer près de 150 messages d'imposteurs envoyés au personnel de l'établissement. Et dans une plus petite structure d'environ 600 collaborateurs, Microsoft est passé à côté de plus de 80 messages d'imposteurs. Dans chaque cas, la validation technique a duré environ un mois.
Nous proposons ci-dessous un échantillon des types d'attaques BEC manquées par Microsoft, à l'entrée et en sortie, et identifiées lors de récentes évaluation des menaces Proofpoint.
Attaques de détournement de salaires
Les attaques de détournement de salaires sont des tentatives de fraude par email qui ciblent généralement les collaborateurs de départements tels que la comptabilité, les services financiers, la gestion des salaires et les ressources humaines. Elles emploient diverses stratégies d'ingénierie sociale qui les rendent parfois difficiles à détecter. Proofpoint détecte, en moyenne, environ 60 000 tentatives de détournement de salaires par mois.
Les attaques de détournement de salaires sont considérées comme un risque de niveau moyen pour les entreprises. Selon le rapport sur les attaques BEC de l'IC3 (FBI) de 2019, la perte moyenne en cas de fraude de type détournement de salaires est de 7 904 dollars par incident.
Voici un exemple d'attaque non détectée par Microsoft :
- Environnement : Microsoft 365
- Catégorie de menace : Piratage de la messagerie en entreprise
- Type d'attaque : Détournement de salaires
- Cible : Responsable des rémunérations et avantages sociaux
Figure 2. Exemple d'attaque de détournement de salaires.
Anatomie de l'attaque de détournement de salaires
Cette attaque de détournement de salaires a éludé les contrôles natifs de la protection de la messagerie de Microsoft, et a même permis des communications bilatérales entre imposteur et victime. L'imposteur a utilisé un compte Gmail et s'est fait passer pour un employé qui demandait que l'on modifie le numéro de compte bancaire sur lequel son salaire était versé. L'usurpation d'identité des collaborateurs est toujours problématique, mais les pertes financières peuvent être encore plus lourdes lorsqu'elle touche des cadres dirigeants.
Attaques d'usurpation de l'identité d'un cadre dirigeant
Les attaques d'usurpation d'identité, particulièrement celles qui concernent des dirigeants, ont connu une hausse spectaculaire avec le bouleversement des modes de travail. Depuis mars 2020, Proofpoint a observé des usurpations via email touchant plus de 7 000 PDG. Plus de la moitié des clients de Proofpoint ont subi au moins une tentative d'escroquerie où l'identité d'un de leurs dirigeants a été usurpée dans un message email.
Voici un exemple d'attaque non détectée par Microsoft :
- Environnement : Microsoft 365
- Catégorie de menace : Piratage de la messagerie en entreprise
- Type d'attaque : Usurpation d'identité
- Cible : Responsables stratégie et développement commercial
Figure 3. Exemple d'attaque d'usurpation de l'identité d'un cadre dirigeant
Anatomie de l'attaque d'usurpation de l'identité d'un cadre dirigeant
Cette attaque d'usurpation d'identité a contourné les contrôles natifs de protection de la messagerie de Microsoft. L'imposteur a utilisé un compte Gmail et s'est fait passer pour le PDG pour demander aux employés de l'entreprise de réaliser une action. Si ces derniers avaient réagi à l'email, l'attaquant aurait pu facilement continuer à manipuler et à extraire des données ou à détourner de l'argent.
Pourquoi Microsoft passe-t-il à côté des attaques BEC ?
Ces attaques utilisent des tactiques sophistiquées et Microsoft les a toutes manquées pour diverses raisons :
- Ces emails réussissent les simples vérifications de réputation de l'expéditeur. L'utilisation de Gmail a permis de passer outre les vérifications d'authentification SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). L'emploi de services légitimes est une tactique courante que de nombreuses solutions reposant sur l'analyse de la réputation ont du mal à détecter.
- Ces messages usurpent le nom d'affichage d'un collaborateur. Microsoft ne les détecte qu'une fois qu'ils ont été identifiés manuellement. De plus, les cybercriminels utilisent souvent des surnoms ou des variantes du nom du collaborateur afin de contourner la fonction d'analyse des en-têtes de Microsoft.
- Microsoft ne propose pas de détection des métonymies (substitution de mots) afin de déchiffrer le ton et l'intention du contenu du message. Ces menaces utilisent clairement des formulations révélatrices de tentatives de fraude.
- Comme l'email ne contient pas de charge virale, la fonction de sandboxing intégrée de Microsoft ne permet pas de détecter ces types de menaces.
En raison de ces lacunes dans la détection, les entreprises doivent consacrer beaucoup de temps et de ressources à corriger les conséquences de ces attaques, souvent manuellement. Lors d'une étude de cas, une entreprise a pu économiser trois équivalents temps plein, ou environ 345 000 dollars sur trois ans, grâce aux fonctions de détection avancées de la solution de sécurité de la messagerie Proofpoint.
Comment Proofpoint bloque le piratage de la messagerie en entreprise
Figure 4. Graphique relationnel illustrant comment Proofpoint contribue à bloquer les attaques BEC
Proofpoint est le premier et le seul fournisseur proposant une solution intégrée de bout en bout pour lutter contre les attaques BEC. Supernova, notre moteur d'apprentissage automatique, utilise un contrôle télémétrique au niveau de la passerelle à l'entrée et en sortie, une analyse des risques pour la chaîne logistique et des données d'API issues de plates-formes de productivité telles que Microsoft 365 et Google Workspace pour assurer une défense sophistiquée contre les attaques BEC.
Supernova associe l'apprentissage automatique, l'analyse dynamique, l'analyse comportementale, des ensembles de règles ainsi que les recherches de nos experts sur les cybercriminels pour proposer aux clients de Proofpoint une efficacité optimale et le taux de faux positifs le plus bas parmi les plates-formes de détection. Les composants d'apprentissage automatique de Supernova sont entraînés par nos ensembles de données exceptionnel, qui proviennent de solutions de protection de la messagerie employées par la majorité des entreprises des classements Fortune 100, Fortune 1000 et Global 2000.
Dans les exemples précédents, il est important de noter que Proofpoint a détecté ces messages et les aurait empêchés d'atteindre la boîte de réception des utilisateurs.
Recommandations pour contrer les attaques BEC
Figure 5. Comment l'approche de protection multicouche de Proofpoint contribue à contrer les attaques BEC
Proofpoint adopte une approche multicouche pour bloquer les attaques BEC à l'aide de la plate-forme Proofpoint Threat Protection. Parmi ces couches, citons nos fonctions de pointe de détection, d'isolation, d'authentification, de formation et de correction automatisée. En matière de phishing, il n'existe pas de solution miracle alors que la menace ne fait que croître : c'est pour cette raison qu'une solution de protection multicouche et intégrée est indispensable. Proofpoint tire également parti de l'apprentissage automatique et de technologies de sandboxing pour détecter et bloquer, en plus des attaques BEC, les ransomwares, le phishing et la prise de contrôle de comptes.
Pour en savoir plus sur la façon dont Proofpoint peut bloquer ces menaces et bien d'autres dans votre environnement grâce à la plate-forme Proofpoint Threat Protection, consultez cette page. Vous pouvez aussi prendre rendez-vous pour que nous réalisions une évaluation gratuite des menaces liées à la messagerie électronique.