Qu’est-ce que le clone phishing ?

Alors que de plus en plus d’organisations sensibilisent les utilisateurs au phishing, les attaquants trouvent de nouveaux moyens de contourner leur formation et de tromper les utilisateurs pour qu’ils se fassent voler des informations d’identification.

Le clone phishing est un nouveau type de menace par e-mail dans lequel les attaquants clonent un véritable e-mail avec des pièces jointes et le renvoient en se faisant passer pour l’expéditeur initial. Les pièces jointes sont remplacées par des malwares mais ressemblent aux documents d’origine.

Imaginons que votre processus commercial consiste à envoyer un document à un client par e-mail, à le lui faire signer, puis à lui renvoyer le document par e-mail. En utilisant le clone phishing, un attaquant peut envoyer un message ou commencer le processus de réception d’un e-mail de votre entreprise.

Lorsque le message de réponse est envoyé, l’attaquant remplace les pièces jointes du document légitime par un virus. Si vos employés ne sont pas en mesure de détecter les pièces jointes malveillantes, ils peuvent être amenés à installer des malwares sur leurs machines.

Le clone phishing ne fonctionne pas toujours avec les réponses aux messages électroniques. Parfois, l’attaque est réalisée en copiant un message électronique couramment envoyé par une entité commerciale connue et en envoyant au destinataire ciblé une copie de l’e-mail légitime. Cet e-mail malveillant contient des pièces jointes malware utilisées pour installer des rootkits, des ransomwares ou toute autre forme de logiciel utilisé pour voler des données.

La façon dont un attaquant obtient le message original dépend de la façon dont vous faites des affaires. Vous pouvez envoyer un message électronique de bienvenue à chaque utilisateur qui s’inscrit à une newsletter ou envoyer un document PDF que les utilisateurs doivent signer pour approuver des transactions.

Une autre possibilité consiste à utiliser les messages électroniques du service clientèle. L’attaquant contacte le service clientèle et répond par un message contenant un contenu malveillant.

Quel que soit le message initial, le clone phishing est souvent couronné de succès puisque les destinataires reçoivent une réponse à un e-mail légitime plutôt qu’à un nouveau message, comme dans une attaque de phishing standard.

Les filtres de messagerie sont également plus susceptibles d’autoriser une réponse malveillante puisqu’elle provient d’un utilisateur légitime et est envoyée par des canaux légitimes.

Certaines attaques de clone phishing ciblent des utilisateurs spécifiques, mais les attaquants envoient souvent plusieurs messages en même temps à des employés choisis au hasard. Il suffit qu’un seul employé se laisse prendre à l’attaque pour que le réseau d’une organisation soit compromis.

Les ransomwares sont l’un des malwares les plus couramment utilisés dans le clone phishing, mais les pièces jointes malveillantes peuvent contenir n’importe quel autre malware : depuis les rootkits qui permettent à n’importe qui d’accéder à distance à la machine de l’employé jusqu’aux simples keyloggers qui volent les mots de passe.

Le clone phishing est beaucoup plus difficile à détecter qu’un message de phishing standard. Dans un message de phishing standard, le contenu est généralement mal écrit et provient d’une source inconnue. Avec le clone phishing, l’utilisateur reconnaît le message, ce qui permet à l’attaquant de tromper plus facilement le destinataire.

À titre d’exemple, la plupart des utilisateurs connaissent la structure d’un message de PayPal. PayPal envoie chaque mois des e-mails de solde aux utilisateurs possédant un compte financier. Un pirate pourrait cloner un message PayPal indiquant au destinataire qu’il doit régler son solde. Au lieu de renvoyer vers le site PayPal légitime, le bouton pointe vers un serveur contrôlé par l’attaquant qui usurpe le site PayPal.

Dans un exemple plus corporate : supposons que votre entreprise envoie un message à chaque fois qu’une personne s’inscrit à la newsletter. Ce message contient l’adresse électronique du lecteur ainsi que tous les messages et pièces jointes qu’il peut vous envoyer. Un attaquant peut copier le message que vous recevez normalement et remplacer les liens par des liens qui pointent vers un site tiers pour inciter les utilisateurs à divulguer leurs informations d’identification ou à télécharger des malwares.

Le clone phishing est souvent envoyé à partir d’une adresse électronique légitime, de sorte qu’aucune usurpation d’adresse n’est nécessaire (bien que l’usurpation soit parfois utilisée). Puisque l’e-mail provient d’une adresse légitime et n’est pas usurpé, le message est également transmis à la boîte de réception de l’utilisateur, indépendamment de la cybersécurité mise en place pour arrêter les e-mails malveillants.

C’est toujours un défi pour les employés de différencier un courriel légitime d’un courriel cloné. Le défi pour les équipes de sécurité est d’éduquer les utilisateurs par le biais de programmes de formation à la sensibilisation à la sécurité sur les nombreuses façons dont les attaquants utilisent le système de messagerie pour compromettre un réseau d’entreprise.

La détection d’un e-mail de phishing requiert l’intuition humaine et la capacité de détecter les nuances liées aux attaques de phishing.

Si un e-mail est formulé de manière étrange ou joue sur le sentiment d’urgence de l’utilisateur, il peut s’agir d’une attaque de phishing. Les e-mails clonés peuvent avoir une bonne grammaire et une bonne orthographe, mais la plupart des stratégies consistent à pousser un destinataire ciblé à effectuer une action sans réfléchir d’abord à ses implications. En général, les utilisateurs se rendent compte qu’un e-mail est une attaque de phishing lorsqu’il est trop tard et après avoir installé un malware ou divulgué leurs informations d’identification.

Tout courriel qui incite les utilisateurs à agir rapidement sans leur donner le temps de réfléchir aux conséquences doit être traité en conséquence. Les attaquants menacent les utilisateurs de fermer leur compte, de perdre de l’argent ou d’avoir des problèmes juridiques pour les pousser à se laisser prendre au clone phishing.

Un e-mail peut contenir un lien malveillant invitant les utilisateurs à cliquer dessus et à se connecter avant de perdre leur compte, ou à répondre à l’e-mail avec des informations sensibles sous peine de perdre leur emploi.

Au lieu de cliquer sur les liens, les utilisateurs doivent taper le domaine dans leur navigateur. Les liens mènent à différents types de pages de phishing. Le lien peut pointer vers une page qui ressemble à la page d’authentification d’une entreprise officielle dans le but d’inciter les utilisateurs à divulguer leurs informations d’identification.

Il peut aussi pointer vers une page qui ressemble à une page d’authentification d’un tiers, comme Google ou Office 365. Il peut aussi pointer vers une page qui télécharge un malware sur l’appareil de l’utilisateur ciblé.

Les messages d’une attaque de clone phishing ne sont jamais les mêmes, mais ils présentent souvent des éléments similaires. Le message est généralement formulé de manière à donner l’impression qu’il s’agit d’un problème urgent, et il contient un lien malveillant ou un fichier joint.

Voici un exemple de message :

Sujet : Problème urgent avec votre compte
Message : Bonjour, merci d’avoir contacté la société Fake avec votre demande. Cliquez ici pour lire le message de notre représentant du service clientèle. [insérer un lien malveillant].

Dans la ligne d’objet, le message transmet un sentiment d’urgence au destinataire. Le message prétend provenir d’une entreprise officielle et est un clone du message automatisé du service clientèle de la fausse entreprise.

Un attaquant enverra ce message à des milliers de personnes dans l’espoir d’obtenir des informations d’identification qui seront vendues sur les marchés du darknet.

Le clone phishing et le spear phishing présentent des similitudes, mais aussi des différences et des stratégies distinctes. Ils sont tous deux efficaces pour compromettre un environnement professionnel, mais leurs stratégies sont distinctes. Dans les deux cas, les entreprises ont besoin d’une formation efficace en matière de cybersécurité pour permettre aux utilisateurs de mieux les détecter.

Les stratégies de spear phishing ciblent les utilisateurs à haut niveau de privilèges. Un cadre, un employé des RH, un comptable ou un administrateur réseau sont des exemples d’utilisateurs à hauts privilèges. Les utilisateurs à hauts privilèges sont ceux qui ont un accès étendu aux données sensibles. Grâce à ces informations d’identification, un attaquant peut accéder à des informations précieuses qu’il pourrait utiliser pour les vendre sur les marchés du darknet.

Un autre avantage de l’accès à haut niveau de privilèges est la possibilité d’analyser le réseau avec une autorité élevée. Les ransomwares ou les rootkits fonctionnant avec des informations d’identification à haut niveau de privilèges peuvent avoir accès à des espaces de stockage partagés qui seraient autrement bloqués sur des comptes à faible niveau de privilèges.

Le clone phishing peut utiliser des éléments du spear phishing, notamment en ciblant des utilisateurs à haut niveau de privilèges. La différence entre les deux types d’attaque réside dans le fait que le spear phishing standard utilise n’importe quel message, tandis que dans une attaque de clone phishing, le message est un message familier utilisé par une entreprise officielle ou par l’entreprise ciblée elle-même. Le message peut être la réponse à un message automatisé envoyé par l’entreprise ciblée ou le clone d’un message officiel d’une entreprise avec laquelle l’organisation ciblée travaille.

Les entreprises peuvent prendre plusieurs mesures de cybersécurité pour mettre fin aux attaques de clone phishing. Il est difficile pour les utilisateurs d’identifier les messages électroniques malveillants et laisser la cybersécurité à l’interception humaine augmente le risque d’échec.

Les menaces internes constituent un problème de cybersécurité important, et les messages de phishing sont l’un des principaux vecteurs d’accès à un environnement. La prévention d’une attaque de phishing réussie passe par la formation des employés, la cybersécurité des e-mails et les contrôles d’accès pour limiter les dégâts.

Les filtres de messagerie empêchent les messages de phishing d’atteindre le destinataire ciblé. Au lieu de s’appuyer sur une intervention humaine, les filtres de messagerie bloquent les messages électroniques potentiellement malveillants. Les messages sont mis en quarantaine, et un administrateur peut les examiner et déterminer s’il s’agit de phishing ou d’un faux positif.

Les utilisateurs peuvent également prendre part à la cybersécurité des e-mails, mais ils doivent être formés pour identifier les e-mails de phishing, ce qui peut se faire par le biais d’une formation à sensibilisation à la sécurité.

Même avec la meilleure formation, un utilisateur qui ne fait pas attention aux signes peut devenir une victime, donc n’utilisez pas la formation comme seule défense. Les utilisateurs doivent être formés à examiner les adresses d’expéditeur et à vérifier la légitimité d’un message électronique en appelant le contact ou en lui envoyant directement un e-mail pour vérification. Ne cliquez jamais sur les liens intégrés dans un e-mail. Tapez plutôt le domaine dans votre navigateur.

Si un utilisateur identifie un e-mail de phishing, envoyez un message aux administrateurs ou à la personne responsable de la messagerie pour les avertir de la menace. Si l’organisation est une cible pour les attaquants, d’autres utilisateurs pourraient recevoir le même message malveillant.

Les administrateurs conscients de l’attaque peuvent prendre les précautions nécessaires et envoyer un message d’avertissement à tous les employés de l’organisation.