Une attaque récente contre une organisation de protection contre le ‘spear phishing’ le prouve, et illustre les dangers de l’utilisation d’emails non authentifiés pour des transactions financières.
Le PC du contrôleur financier de l’entreprise a été infecté par un malware qui a envoyé une copie de chacun de ses emails reçus vers une autre adresse email sur un compte d’email gratuit.
L’escroc sur ce compte d’email non autorisé s’est alors contenté de surveiller les emails du contrôleur financier pendant une courte période avant d’agir. Rapidement, il a identifié un email concernant une transaction financière suffisamment intéressante pour déclencher son attaque.
Utilisant des informations à partir des emails qu’il surveillait, il a créé un faux email à partir du fournisseur, avec un en tête Re : (Répondre à) pour détourner les réponses vers lui.
From : invoice@supplier.com
Subject : Our revised invoice with updated bank info
Reply-To : invoice@supplier.com
To : purchasing@victim-company.com
Please find revised Invoice with our updated bank details for payment transfer.
1 attachment : Updated-Invoice.pdf
Exploitant son avantage, pendant les deux semaines suivantes, l’escroc s’est inséré dans des conversations concernant d’autres transactions financières, usurpant d’abord l’identité d’une des parties, puis de l’autre, détournant soigneusement les réponses vers sa propre adresse email. La véritable conversation email entre l’entreprise et son fournisseur était mentionnée dans l’email de l’escroc.
Lorsqu’on lui demandait pourquoi le compte bancaire du fournisseur était dans une banque étrangère peu connue, l’escroc attachait des images de documents signés « autorisant » le changement. Les lettres d’autorisation et les signatures avaient été récupérées sur des documents similaires attachés à des emails précédents que le contrôleur avait reçus.
A un moment donné, certains employés ont fini par recevoir la preuve d’une des usurpations de leur propre identité par l’escroc, et l’alarme a été donnée. Mais l’escroc a pu récupérer une importante somme d’argent avant que son stratagème ne soit découvert.
De multiples vulnérabilités ont été exploitées dans cet exemple. Tout d’abord, le malware sur le PC du contrôleur financier a fourni à l’escroc une table d’écoute sur les flux financiers de l’entreprise qui lui a donné les informations nécessaires pour monter son piège. Deuxièmement, sa capacité à usurper l’identité d’employés de l’entreprise et de personnes avec lesquelles ils correspondaient régulièrement lui a permis d’atteindre ses cibles. Plus d’informations sur ce type d’attaque sont disponibles sur le blog Barracuda sur le spear phishing et la cyber fraude, et sur l’article Threat Soptlight.
Barracuda Sentinel utilise la fonction DMARC d’authentification de message basé sur leur nom de domaine (Domain based Message Authentication Reporting and Conformance) pour combattre ce type d’attaque. Ce service examine des informations provenant de multiples signaux pour apprendre les schémas uniques de communications de chaque entreprise et pour analyser le contenu des messages pour détecter des informations sensibles. Barracuda combine alors cette intelligence sur les messages pour déterminer avec un haut degré de précision si un message email fait partie d’une attaque de ‘spear phishing’ de ce type. On peut en savoir plus sur Barracuda Sentinel sur le site.
Barracuda fournit des solutions hautes performances conçues pour résoudre des problèmes informatiques majeurs, de façon efficace et économique. Ses solutions couvrent trois marchés distincts la sécurité des contenus ; les réseaux et la livraison des applications ; le stockage, la protection des données et la reprise après désastre.
Nuvias distribuera en France l’ensemble de la gamme de produits de Barracuda, et tout particulièrement Barracuda Essentials for Email Security, une solution simple à utiliser de sécurité et d’archivage des emails en mode cloud ; les firewalls de Nouvelle Génération de Barracuda, qui fournissent protection et performances pour le monde du cloud ; et Barracuda Backup, une solution intégrée de protection des données à la fois pour les environnements physiques, virtuels, cloud et SaaS.