Attaque Watering Hole

Mode de fonctionnement

Attaque ciblée, visant à compromettre les utilisateurs d'un certain secteur d'activité en infectant les sites Web qu'ils consultent fréquemment et en les attirant par la ruse vers un site malveillant. Les attaques dites « Watering Hole » (ou « point d'eau »), connues pour compromettre des sites Web stratégiques, restent de portée limitée, car elles dépendent d'un certain facteur « chance ». Elles gagnent toutefois en efficacité lorsqu'elles sont combinées à des invites de messagerie qui leurrent les utilisateurs et les dirigent par ruse vers certains sites Web. 

Pour atteindre leurs objectifs, les auteurs d'attaques opportunistes qui recherchent un gain financier ou tentent de créer leur propre botnet compromettent certains sites Web populaires destinés au grand public. Les auteurs d'attaques ciblées qui recherchent avant tout un gain financier tendent eux à se concentrer sur les sites Web populaires publics d'un secteur donné, par exemple une conférence du secteur, un organisme de normalisation ou un site de débat d'experts. Ils recherchent alors une vulnérabilité connue dans le site Web, le compromettent, y installe leur code malveillant et attendent les utilisateurs appâtés.  

Des attaquants invitent même les utilisateurs à consulter certains sites en leur envoyant des messages électroniques ‘inoffensifs’ et fortement contextualisés qui les dirigent vers certaines parties du site Web compromis. Ces messages ne proviennent généralement pas des attaquants eux-mêmes, mais sont transmis à travers les bulletins et notifications électroniques régulièrement envoyés automatiquement par le site Web compromis.  La détection des leurres devient alors particulièrement difficile.

Comme pour les attaques ciblées, l'ordinateur de l'utilisateur est compromis à son insu par une attaque par téléchargement qui ne laisse aucun indice suspect à l'utilisateur.

Comment s'en protéger ?

Les passerelles Web qui protègent l'entreprise contre les téléchargements furtifs opportunistes associés à une signature ou à une mauvaise réputation connue détectent une partie des attaques opportunistes de type Watering Hole. Pour se défendre contre les attaques plus complexes, les entreprises doivent toutefois envisager des solutions d'analyse des logiciels malveillants plus dynamiques, capables de détecter le comportement malveillant sur les sites Web les plus suspects que consultent leurs utilisateurs.

Pour vous protéger contre les attaques de type Watering Hole, optez pour une solution de messagerie capable d'analyser de façon toute aussi dynamique les logiciels malveillants lors de l'arrivée du message et lorsque l'utilisateur clique sur un élément. Pour réellement défendre l'entreprise, la solution doit en outre être dotée de mécanismes capables de protéger l'utilisateur indépendamment du fait qu'il soit ou non sur le réseau de l'entreprise ou qu'il franchisse ou non les contrôles de sécurité sur site.