Le volume de ces attaques reste encore très faible, puisque chaque attaque représente moins de 1 % des attaques de phishing détectées par les systèmes de classification par apprentissage automatique de Barracuda. Pourtant, elles sont très répandues, chacune ayant un impact sur 11 à 15 % des entreprises. Il y a donc de fortes probabilités pour que de nombreuses entreprises soient confrontées à l’un de ces messages malveillants avant la fin de l’année.

Or, il faut savoir que les systèmes basés sur des passerelles n’offrent que peu ou pas de protection contre ces types d’attaques et qu’il faudrait beaucoup de réglages et de règles basées sur le contrôle pour protéger les clients. Ces attaques sont par nature plus dynamiques, leur charge utile pouvant changer au moment de la remise de l’e-mail, comme on le voit notamment dans les attaques utilisant le service Google Translate.

Examinons de plus près ces trois nouvelles tactiques, la façon dont les cybercriminels les utilisent pour échapper à la détection et ce que vous pouvez faire pour vous protéger contre ces types d’attaques.

Attaques exploitant des liens Google Translate

Nos chercheurs constatent un nombre croissant d’attaques par e-mail qui utilisent le service Google Translate (ou Google Traduction) pour dissimuler des URL malveillantes. Alors que seulement 0,7 % des attaques de phishing détectées par les systèmes de classification par apprentissage automatique de Barracuda exploitaient des liens Google Translate, 13 % des entreprises ont reçu ce type d’e-mail d’hameçonnage. En moyenne, une entreprise reçoit environ 8 de ces e-mails par mois.

Les attaquants utilisent la fonction de traduction de sites web de Google Translate pour envoyer par e-mail des URL hébergées par Google qui conduisent au final à des sites web d’hameçonnage. Ce type d’attaque est couramment qualifié de "phishing Google Translate", ou bien "phishing basé sur la traduction" ou "attaque par tromperie de traduction". L’attaquant s’appuie sur un service de traduction pour tromper la victime et dissimuler l’URL malveillante. Google Translate est le service le plus utilisé, mais nos analystes en sécurité ont également vu des attaques similaires hébergées derrière d’autres moteurs de recherche populaires.

Ces attaques sont difficiles à détecter, car elles contiennent des URL qui pointent vers un site légitime. Bon nombre de technologies de filtrage de la messagerie électronique laissent ces attaques passer jusque dans les boîtes de réception des utilisateurs. Lorsqu’ils cliquent sur les URL, les utilisateurs sont dirigés vers un site web falsifié mais qui paraît authentique.

Les attaquants utilisent des services de traduction pour traduire une URL anodine qu’ils envoient ensuite à leurs victimes. Ils transforment la charge utile en contenu malveillant après la remise de l’e-mail, de sorte que les défenses basées sur des passerelles n’assurent qu’une sécurité limitée. Les attaques utilisent également des pages HTML mal formées ou une langue non prise en charge pour échapper à la traduction. Dans ce cas, Google fournit simplement un lien vers l’URL d’origine, en indiquant qu’il n’est pas en mesure de traduire le site web sous-jacent. Les utilisateurs qui cliquent malencontreusement sur la page sont redirigés vers un site web qui est contrôlé par l’attaquant.

Attaques par images en pièce jointe

Les attaques basées sur des images sont couramment utilisées par les spammeurs ; toutefois, les attaquants commencent maintenant à utiliser aussi des images sans aucun texte dans leurs attaques de phishing. Ces images incluent souvent un lien ou un numéro de téléphone de rappel qui conduit à un hameçonnage.

Alors que seulement 0,2 % des attaques de phishing détectées par les systèmes de classification par apprentissage automatique de Barracuda exploitaient des images en pièce jointe, 11 % des entreprises ont reçu ce type d’e-mail d’hameçonnage. En moyenne, une entreprise reçoit environ 2 de ces e-mails par mois.

Comme ces attaques ne comportent pas de texte, la sécurité traditionnelle des passerelles de messagerie n’est pas efficace pour les détecter, ce qui permet aux attaquants d’atteindre les victimes qu’ils ciblent.

La plupart des attaques par images en pièce jointe que les systèmes de Barracuda ont détectées jusqu’à présent concernaient de fausses factures, comme dans l’exemple ci-dessous.

Les attaques de ce type sont désignées depuis peu par l’appellation de "phishing par image" ou "hameçonnage par image". Elles sont de plus en plus exploitées, car les utilisateurs sont souvent plus enclins à faire confiance à une image qui semble provenir d’une source légitime. Les mesures de sécurité des e-mails étant de plus en plus perfectionnées, les cybercriminels ont dû mettre au point de nouvelles tactiques pour échapper à la détection. Les attaques de phishing par image se sont avérées être une technique efficace pour contourner ces mesures. Le recours à ces attaques s’est considérablement accru au cours des dix dernières années et il est probable que les cybercriminels continuent d’utiliser cette tactique populaire à l’avenir.

Utilisation de caractères spéciaux dans les attaques

Les pirates informatiques utilisent souvent des caractères spéciaux, tels que les codes de caractère Unicode de largeur nulle (zero-width Unicode), la ponctuation, les caractères non latins ou les espaces, pour échapper à la détection. Alors que seulement 0,4 % des attaques de phishing détectées par les systèmes de classification par apprentissage automatique de Barracuda exploitaient ce type d’attaque, les chercheurs de Barracuda ont constaté que 15 % des entreprises avaient reçu des e-mails d’hameçonnage utilisant des caractères spéciaux de la sorte. En moyenne, une entreprise reçoit environ 4 de ces e-mails par mois.

Il peut être très difficile de détecter ces attaques, car il existe des raisons légitimes d’utiliser des caractères spéciaux, par exemple dans les signatures des e-mails. Le meilleur moyen d’empêcher ces menaces d’atteindre les utilisateurs est de mettre en place une solution de sécurité des e-mails qui utilise l’apprentissage automatique pour détecter si l’utilisation des caractères spéciaux est frauduleuse ou inoffensive.

L’exemple ci-dessous montre que les attaquants ont utilisé plusieurs espaces de largeur nulle. Ces caractères ne sont pas visibles pour l’utilisateur qui reçoit le message, mais ils sont visibles dans le code HTML.

Ce type d’attaque est généralement appelé "attaques homographiques" ou "attaques par espaces de largeur nulle". Ces attaques étaient couramment utilisées dans le typosquatting ou typosquattage, par lequel un attaquant enregistre un nom de domaine ressemblant à un domaine existant, mais délibérément mal orthographié pour tromper les internautes. Récemment toutefois, elles sont davantage utilisées dans le corps des e-mails pour tromper le destinataire en lui faisant croire que l’e-mail provient d’une source légitime.

Il existe plusieurs autres attaques similaires à ces techniques, que nous examinerons plus en détail dans de prochains billets de blog.

Attaques par punycode : tout comme les attaques par caractères spéciaux ou de largeur nulle, les attaques par punycode utilisent des caractères non ASCII dans les noms de domaine pour créer de fausses URL qui semblent identiques à des sites web légitimes et ainsi inciter les internautes à saisir leur nom d’utilisateur et leur mot de passe ou leur numéro de carte de crédit.

Attaques par usurpation d’URL : ces attaques reprennent des domaines similaires qui ne sont pas entièrement identiques à des sites web ou des entreprises légitimes. À l’instar des attaques par punycode, les attaquants créent des formulaires de connexion qui incitent les internautes à saisir leurs données d’identification ou à télécharger des fichiers prétendument sécurisés, ce qui installe un logiciel de rançon ou un programme malveillant sur leur ordinateur.

Attaques de typosquattage : il s’agit d’une technique assez courante contre laquelle les passerelles offrent une protection adéquate. Par exemple, une attaque peut consister à enregistrer un domaine tel que yahooo.com pour imiter le véritable site Yahoo.

Watering hole attacks (attaques de point d’eau) : dans ce type d’attaque, les cybercriminels ciblent délibérément un groupe d’utilisateurs par le biais d’un site compromis auquel ils savent que leur public cible accède. Les attaquants injectent du code malveillant dans la page web et l’utilisent pour dérober les informations d’identification ou d’autres informations sensibles, voire pour installer des programmes malveillants ou des logiciels de rançon.

Comment se protéger contre ces nouvelles attaques d’hameçonnage

Assurez-vous que votre système de protection des e-mails analyse et bloque les pièces jointes et les liens malveillants. Ils peuvent être difficiles à identifier avec précision, de sorte que la détection comporte souvent un grand nombre de faux positifs. Les meilleures solutions incluent une analyse par apprentissage automatique qui examine le contexte des images, le sujet des e-mails et les statistiques de l’expéditeur pour déterminer si l’e-mail constitue une attaque ou non.

Formez vos utilisateurs à identifier et signaler les attaques potentielles. Les attaques de phishing évoluant constamment, il est important que vos utilisateurs restent informés des types d’attaques nouveaux et émergents. Incluez des exemples de ce type d’attaques dans vos campagnes de simulation de phishing et formez les utilisateurs à toujours vérifier deux fois avant de cliquer sur un lien ou de partager leurs informations d’identification.

Si un e-mail malveillant réussit à passer, assurez-vous que vos outils de correction après livraison sont prêts à identifier et supprimer rapidement toutes les occurrences de l’e-mail malveillant dans toutes les boîtes de réception des utilisateurs. La réponse automatisée aux incidents peut aider à agir rapidement avant que les attaques ne se propagent dans l’entreprise. En outre, la protection contre l’usurpation de comptes peut surveiller et vous alerter en cas d’activité suspecte sur un compte si les identifiants de connexion venaient à être compromis.