Les attaques de phishing (ou hameçonnage) représentent aujourd’hui l’une des menaces les plus sérieuses en cybersécurité. L’évolution constante des techniques utilisées par les cybercriminels rend ces attaques de plus en plus difficiles à détecter. L’analyse récente menée par l’équipe MDDR de Varonis illustre bien cette réalité : chaque détail, de la conception des messages à la dissimulation des traces rend la situation de plus en plus complexe.
Table des matières
ToggleDétection initiale de l’attaque
La détection de cette attaque de phishing a commencé par une anomalie repérée dans le compte email d’un cadre supérieur d’une société d’assurance basée au Royaume-Uni. Une règle de suppression inhabituelle, intitulée « a », avait été créée pour effacer de manière permanente tous les courriels contenant un mot-clé spécifique lié au domaine de l’expéditeur. Cette règle a été créée depuis une adresse IP située aux États-Unis, un emplacement qui ne correspondait pas aux opérations normales de l’entreprise. Ce premier signe a immédiatement éveillé les soupçons des équipes de sécurité.
L’analyse a révélé que le mot-clé ciblé dans la règle de suppression correspondait au domaine de l’expéditeur du phishing. Cette configuration permettait à l’attaquant de supprimer automatiquement tous les courriels envoyés depuis ou vers ce domaine, rendant plus difficile la détection de l’intrusion. Le fait que cette action ait été réalisée depuis une adresse IP associée à Microsoft compliquait encore l’enquête, rendant plus difficile l’identification rapide du responsable. Ce type de technique souligne à quel point les attaquants utilisent des méthodes sophistiquées pour effacer leurs traces tout en restant dans les limites de l’activité réseau apparente.
Les premières étapes d’une attaque de phishing
Une attaque de phishing réussie repose sur une ingénierie sociale soignée et des mécanismes techniques complexes. Dans ce cas précis, les cybercriminels ont envoyé un email frauduleux intitulé « ML Payment #05323 » à 26 employés d’une société d’assurance. Le courriel semblait provenir du PDG d’une grande entreprise maritime internationale, dont le compte email avait été compromis. Cette usurpation d’identité crédible a augmenté la probabilité que les destinataires ouvrent le message sans méfiance.
Au lieu de joindre un fichier PDF classique, les attaquants ont inséré un lien vers un document hébergé sur un serveur AWS, donnant l’apparence d’un message officiel de Microsoft OneDrive. Une fois cliqué, ce lien redirigeait vers une fausse page d’authentification Microsoft intitulée « login.siffinance[.]com ». Les victimes qui saisissaient leurs identifiants sur cette page permettaient aux attaquants d’obtenir un accès immédiat à leurs comptes. Une redirection discrète vers le site officiel de Microsoft renforçait encore l’illusion que rien d’inhabituel ne s’était produit.
Les criminels sont allés jusqu’à utiliser la plateforme légitime Render pour héberger certains éléments techniques de leur attaque, ce qui leur a permis de contourner les systèmes de sécurité standards. Une telle utilisation de services de confiance est une caractéristique clé des attaques de phishing modernes, conçues pour échapper aux radars des solutions de détection automatisée.
Les techniques avancées utilisées par les attaquants
Les cybercriminels derrière cette attaque ont démontré une grande ingéniosité en exploitant diverses techniques sophistiquées pour optimiser leurs chances de succès tout en restant indétectables.
Voici un aperçu des méthodes employées :
- Adresse d’expéditeur fiable : l’email frauduleux semblait provenir d’une adresse familière et crédible, ce qui a réduit les soupçons des destinataires.
- Utilisation de plateformes légitimes : le PDF malveillant était hébergé sur AWS, et certaines parties de l’attaque utilisaient Render, des services fiables qui permettent d’échapper aux filtres de sécurité des emails.
- Technique des poupées russes : une chaîne complexe de redirections, où chaque lien menait à une page apparemment légitime, compliquait la détection par les systèmes de sécurité.
La technique des poupées russes : une méthode redoutable
Dans le contexte du phishing, cette méthode consiste à enchaîner plusieurs étapes de redirection via des plateformes légitimes avant d’atteindre la page de phishing finale. Voici son fonctionnement :
- Première couche : l’email de phishing contient un lien qui semble légitime et mène à une plateforme reconnue, comme Google Drive ou Dropbox. Ces plateformes sont souvent utilisées pour héberger un document ou un fichier.
- Deuxième couche : ce document ou fichier contient un autre lien ou une instruction pour accéder à un autre site ou service. Par exemple, le document peut inviter l’utilisateur à cliquer sur un lien pour consulter des détails supplémentaires.
- Troisième couche et au-delà : chaque redirection suivante mène à un autre site ou service légitime, renforçant l’impression de sécurité pour l’utilisateur.
- Page de phishing finale : après plusieurs étapes, l’utilisateur arrive sur une page de phishing conçue pour ressembler à une interface de connexion ou de service de confiance.
Cette méthode est particulièrement efficace pour :
- Éviter la détection : les services de sécurité peinent à identifier le phishing si chaque étape passe par des plateformes reconnues.
- Gagner la confiance : les multiples redirections renforcent l’impression de légitimité pour l’utilisateur.
- Complexifier l’analyse : les équipes de sécurité doivent examiner chaque point de redirection pour comprendre l’attaque en entier.
Cette stratégie témoigne de l’ingéniosité des cybercriminels pour contourner les systèmes de sécurité et manipuler les utilisateurs jusqu’à ce qu’il soit trop tard. Le phishing constitue souvent la première étape d’une attaque de ransomware : une fois les identifiants volés, les attaquants peuvent infiltrer le réseau de l’entreprise, déployer des logiciels malveillants et bloquer l’accès aux données critiques. Dans un sondage effectué par Opinion Way pour WatchGuard en 2024 auprès de 300 PME françaises, 49% ont déclaré avoir été victimes d’au moins une cyberattaque. L’hameçonnage et la corruption des courriers électroniques professionnels restent un des principaux vecteur d’attaque informatique.
L’essor des attaques de phishing en 2024
Les attaques de phishing connaissent une recrudescence alarmante en 2024, selon un rapport publié par Egress, spécialiste en sécurité des emails, 76 % des entreprises interrogées ont déclaré avoir subi au moins une attaque de phishing cette année. Cette montée en flèche est attribuée à l’évolution constante des techniques utilisées par les cybercriminels, notamment les techniques d’ingénierie sociale de plus en plus perfectionnées. Désormais, 44 % des courriels de phishing proviennent de comptes compromis, donnant à leurs messages une apparence légitime difficile à détecter.
En parallèle, les cybercriminels privilégient les liens hypertextes plutôt que les pièces jointes. Intégrés dans le contenu des emails ces liens, sont beaucoup plus difficilement détectables par les systèmes de protection. Ils redirigent le plus souvent vers des sites frauduleux minutieusement conçus pour imiter des plateformes connues, trompant ainsi les victimes. Cette stratégie permet aux attaquants d’échapper aux dispositifs de sécurité et de rendre leurs campagnes plus efficaces.
L’étude de cas de Varonis évoquée plus haut illustre parfaitement l’efficacité de l’utilisation conjointe de comptes compromis et de liens hypertextes malveillants. Cette combinaison permet aux cybercriminels de mener des campagnes de phishing particulièrement convaincantes et complexes à repérer, même pour des systèmes de sécurité avancés.
Signaux d’alerte et actions à entreprendre
Pour détecter une attaque de phishing, voici quelques indices auxquels il est bon d’accorder toute notre attention :
- Emails inattendus avec des pièces jointes ou des liens inconnus.
- Expéditeurs prétendant être des personnes ou organisations de confiance.
- Présence de règles de suppression d’emails inconnues dans la messagerie.
- Redirections suspectes après une tentative de connexion.
Les entreprises doivent agir rapidement lorsqu’une attaque est suspectée : désactiver les comptes compromis, réinitialiser les mots de passe et examiner les journaux d’accès pour identifier les activités inhabituelles.
Mesures préventives essentielles
- Former régulièrement les employés à la reconnaissance des menaces.
- Mettre en place des filtres de sécurité avancés.
- Réaliser des audits de sécurité périodiques.
- Déployer l’authentification multifactorielle pour tous les comptes sensibles.
Les entreprises doivent revoir régulièrement leurs stratégies de cybersécurité. Des simulations d’attaques de phishing peuvent être organisées pour tester la réactivité des équipes et améliorer les processus de détection et de réponse.