Ce regain d’activité a poussé les systèmes de sécurité à chercher des moyens pour renforcer leurs défenses. Plus la sécurité se perfectionne pour lutter contre les différentes attaques, plus les pirates informatiques doivent s’adapter.

Un type d’attaque a bien fonctionné : l’usurpation d’identité de marque. Un pirate fait croire qu’un e-mail émane d’une marque de confiance.

Comme nous l’avons écrit à maintes reprises, les pirates laissent tomber l’usurpation de marque et s’attaquent à la réalité.

Les pirates informatiques utilisent désormais des services légitimes pour lancer des attaques de type Business Email Compromise (BEC) 3.0.

Pas besoin de chercher longtemps ni de faire de l’ingénierie sociale complexe. Créez simplement un compte gratuit sur un site fréquenté et légitime et envoyez un lien depuis ce service. Ces campagnes inondent les boîtes de réception du monde entier.

Dans cette note d’attaque, les chercheurs de Check Point Harmony Email expliquent comment les pirates créent des documents malveillants dans Dropbox, envoient ensuite un lien légitime depuis Dropbox, avec un fichier partagé vers un faux lien OneDrive.

L’attaque

Dans cette attaque, les pirates créent des comptes gratuits sur Dropbox et misent sur la légitimité du domaine pour créer des pages dans lesquelles sont intégrés des phishings.

Vecteur : Email
Type : BEC 3.0
Techniques : BEC, Ingénierie sociale
Cible : Tout utilisateur final

Tout commence par le partage d’un PDF du curriculum vitae d’une personne via Dropbox. Pour le voir, l’utilisateur final doit l’« ajouter à Dropbox ». Au départ, le lien provenait de Dropbox, autrement dit, la première communication n’a rien de malveillant. Dropbox est un site légitime, auquel on n’a rien à reprocher. En revanche, la façon dont les pirates l’utilisent, c’est une autre histoire.

1ère étape : Une fois qu’on clique et qu’on entre dans Dropbox, on voit cette page, hébergée sur Dropbox. Pour voir le document, les utilisateurs doivent entrer leur identifiant et leur mot de passe. Ainsi, une fois que les utilisateurs franchissent cette étape, les pirates ont leurs adresses e-mail et leurs mots de passe.

2ème étape : Une fois que les utilisateurs ont saisi leurs identifiants, ils sont renvoyés vers ce site, qui envoie à une URL malveillante.

En utilisant un site légitime, les pirates ont donc créé deux violations possibles : ils obtiennent vos identifiants et vous incitent à cliquer sur une URL malveillante.

En effet, l’URL elle-même est légitime. C’est le contenu du site internet qui est problématique. Vous verrez que les pirates ont créé une page qui ressemble à OneDrive. S’ils cliquent sur le lien, les utilisateurs se retrouvent à télécharger un fichier malveillant.

Méthodes

Les hackers ne manquent pas d’ingéniosité. Ils s’efforceront de mener à bien une attaque jusqu’à ce que les services de sécurité ou les utilisateurs finaux trouvent un moyen de la bloquer ou de l’ignorer.

On a constaté un grand nombre d’attaques de type BEC de la part des pirates informatiques. En général, ils essaient d’usurper l’identité d’un cadre ou d’un membre de la direction pour amener un utilisateur à agir contre son gré (comme payer une facture au mauvais endroit).

Nous sommes témoins d’une recrudescence des BEC 3.0. Certains services légitimes sont utilisés pour envoyer directement du contenu de phishing : les attaques complexes et dangereuses évoluent.

Se servir de sites web légitimes pour héberger des contenus malveillants est un moyen imparable d’entrer dans la boîte de réception.

La majorité des services de sécurité examinera le lien (dans ce cas, provenant de Dropbox), confirmera sa légitimité et approuvera le message en raison de cette légitimité.

Ce type d’attaque requiert un certain nombre d’éléments. Cela commence par une protection complète de la suite. Même si l’attaque commence par un e-mail, elle devient un problème au moment de partager les fichiers une fois qu’elle atteint Dropbox. Rechercher des fichiers malveillants dans Dropbox (et émuler des liens dans des documents) est indispensable. Cela inclut le remplacement des liens dans le texte de l’e-mail et dans les fichiers joints, afin de prévenir les tentatives de phishing utilisant des fichiers liés. Cette protection doit être activée chaque fois qu’un utilisateur clique sur ce lien.

Autre point important : la sensibilisation. Mais comment expliquer aux utilisateurs que des liens sont légitimes ou pas ? Le contexte joue un rôle important. Prenez l’exemple ci-dessus. Demandez-vous comment il s’applique à votre entreprise. Les CV sont-ils généralement envoyés via Dropbox ? Si ce n’est pas le cas, c’est peut-être une bonne occasion de contacter l’expéditeur d’origine et de revérifier. Si c’est le cas, vous pouvez continuer. Faut-il se reconnecter avec son e-mail lorsqu’on se connecte à Dropbox ?

Quelques secondes suffisent pour savoir ce que l’expéditeur veut que vous fassiez. Cela vous évitera bien des ennuis.

Les chercheurs de Check Point Harmony Email ont contacté Dropbox le 15 mai dernier. Via leur outil de signalement de phishing, ils ont fait part à Dropbox de cette attaque et de leurs recherches.

Bonnes pratiques : Conseils et recommandations

Pour se défendre de ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :

Mettre en place un système de sécurité qui examine toutes les URL et émule la page qui se cache derrière.

Sensibiliser les utilisateurs à cette nouvelle variante de BEC

Miser sur un logiciel anti-phishing basé sur l’IA, capable de bloquer les contenus de phishing dans l’ensemble de la suite de productivité.