Mode de fonctionnement

Envoyés en masse et imitant des attaques ciblées, les messages de phishing personnalisés prennent délibérément l'aspect d'un courrier vous étant personnellement destiné. Les auteurs des attaques exploitent les approches utilisées par les organisateurs de campagnes marketing pour générer des millions de messages différents. Pour ce faire, ils utilisent une infrastructure et du code de génération de messages, capables de manipuler le contenu de ces derniers, les lignes d'objet, l'adresse IP et le compte de messagerie des expéditeurs, et les URL. Cela signifie à peine 10 à 50 messages électroniques très ressemblants pour chaque entreprise, et permet aux messages malveillants d'échapper au radar de tous les systèmes d'analyse du spam et du contenu. En général, aucune pièce jointe n'est incluse, ce qui réduit les chances de détection par un antivirus ou autres solutions basées sur les signatures. Par ailleurs, les différents comptes d'utilisateur, adresses IP et URL utilisés dans une campagne sont généralement légitimes, bien que compromis.

Longlining Attacks

Les caractéristiques de réputation associées aux messages électroniques sont alors intrinsèquement « bonnes », et échappent ainsi à la détection par toute approche basée sur la réputation. Pour prolonger la durée de non détection des attaques, leurs auteurs veillent à ce que le site compromis transmette des logiciels malveillants « polymorphiques » aux ordinateurs des utilisateurs. Chaque utilisateur obtient une version unique du logiciel malveillant, ce qui met à mal l'intérêt des signatures éventuellement créées lorsque l'attaque commence à être détectée. Comment s'en protéger ? Face à la nature complexe du contenu et de l'infrastructure compromise que l'on retrouve généralement dans les attaques de type Longlining, il est plus efficace de faire appel à une solution de sécurité axée sur le Big Data. Une telle solution ne se contente généralement pas d'analyser les signatures et la réputation. Son objectif doit être de rechercher des schémas à partir de l'historique du trafic, d'analyser le nouveau trafic en temps réel et de prédire ce qu'un service Cloud de détection avancée des logiciels malveillants doit analyser.

Recherchez une solution de sécurité capable d'identifier les campagnes personnalisées en masse qui ciblent simultanément plusieurs entreprises, d'en reconnaître les caractéristiques propres, donc le schéma, puis d'envoyer de façon proactive ces menaces dans un sandbox pour qualifier ce schéma de malveillant et augmenter sa détection. L'approche adoptée par la solution de sécurité doit également permettre de gérer les messages qui passent à travers. Les attaques Longlining pouvant envoyer plus de 800 000 messages par minute, beaucoup atteignent les utilisateurs. La solution de sécurité donc doit être capable de réécrire les diverses URL incluses dans ces messages et d'envoyer en prévention les URL suspectes dans un sandbox afin d'empêcher les utilisateurs d'atteindre la destination une fois son caractère malveillant confirmé par le système de détection avancé. Le volume de travail exigé en nettoyage et correction se réduit alors considérablement.