Natalia Merzlyakova - Fotolia
Importante augmentation des tentatives de fraude par e-mail visant les entreprises
Selon Proofpoint, le nombre de ces opérations à progressé de 45 % au dernier trimestre 2016. Majoritairement, les messages frauduleux apparaissent provenir de l’organisation visée.
Proofpoint s’est penché sur les tentatives d’attaque ayant visé ses plus de 5000 clients aux Etats-Unis, Canada, Royaume-Uni, Allemagne, France et Australie, pour y découvrir une augmentation de 45 % du nombre de tentatives de fraudes par e-mail, les fameuses attaques de type Business Email Compromise (BEC). Ces attaques consistent à tenter de tromper la vigilance d’employés pour les conduire à procéder à paiement que rien ne justifie en réalité.
Proofpoint relève en parallèle que deux tiers de ces opérations jouent sur l’usurpation du nom de domaine de la victime. De quoi donner l’impression au destinataire que le message provient d’un simple collègue. Dans ce contexte, il n’est guère surprenant que l’usurpation de l’identité du Pdg continue d’être plus que courante, mais moins pour viser le directeur financier que d’autres employés : en août, dans près de 40 % des cas, le directeur financier était visé ; ce n’était plus vrai que dans moins de 30 % des cas en décembre dernier.
Pour lutter contre ces attaques, Proofpoint fait notamment référence au recours à DMARC, qui s’appuie notamment sur les informations DKIM et SPF figurant dans les enregistrements DNS relatifs au nom de domaine. Pour mémoire, DKIM utilise le chiffrement à clé publique pour signer les entêtes de courrier électronique sur le serveur. La clé publique est publiée dans les enregistrements DNS, et une clé privée est déployée sur le serveur de messagerie afin de lui permettre de signer les emails envoyés par ses utilisateurs. Cela permet d’assurer qu’un serveur est bien autorisé à envoyer des emails pour le domaine considéré. Plus simple à mettre en œuvre, SPF ne repose pas sur le chiffrement : l’enregistrement DNS SPF liste tous les serveurs autorisés à expédier des messages pour le domaine considéré. Avec DMARC, une organisation ajoute à cela un enregistrement indiquant quoi faire des messages non conformes. En général, ceux-ci sont placés en quarantaine ou supprimés.
En septembre dernier, Proofpoint a justement fait l’acquisition de l’activité de protection contre la fraude par courrier électronique de Return Path, qui s’appuie sur la vérification des expéditeurs avec le standard DMARC, tout la complétant par des outils d’analyse spécifiques.
Peu après cette opération, Proofpoint a annoncé, le rachat de la jeune pousse FireLayers, dans le but d’étendre son offre de protection contre les attaques ciblées aux applications SaaS. A l’origine, cette offre couvre les attaques menées via la messagerie électronique, avec des pièces jointes ou simplement des liens renvoyant vers des pages Web malicieuses. La technologie de FireLayers doit permettre d’étendre le périmètre couvert aux fichiers partagés via des services de synchronisation et de partage en ligne, comme OneDrive ou Dropbox, mais également à ceux attachés à des tickets de service ouverts dans Salesforce ou ServiceNow, à des messages dans des applications collaboratives comme Slack, voire à des liens malicieux présents dans des CV intégrés à des applications de gestion des ressources humaines.