Geekly articles weekly

Pêche vocale: nous analysons les méthodes d'attaque et les méthodes de protection contre celles-ci

image


Le phishing est un type de fraude en ligne qui utilise les principes de l'ingénierie sociale. Il s'agit d'un e-mail, d'un appel, d'un SMS ou d'un message dans un messager ou un réseau social, essayant d'inciter l'utilisateur à transmettre ses données confidentielles, à télécharger un fichier malveillant ou à transférer de l'argent. Pour ce faire, l'expéditeur semble être une autre personne, dont une telle demande soulève moins de soupçons.


Le spear phishing est une sous-espèce de phishing ciblant un cercle restreint de personnes. Il peut s'agir d'une sorte d'organisation, d'un groupe de ses employés ou d'un individu, selon les intentions de l'attaquant. Dans ce cas, le message reçu sera conçu spécifiquement pour un cercle restreint de personnes. Lors d'une telle attaque, un attaquant pourrait essayer:


  • pour obtenir des données confidentielles (données de carte bancaire afin de voler de l'argent);
  • installer des logiciels malveillants sur l'appareil cible;
  • obtenir des secrets et des données confidentielles de l'organisation à des fins de chantage ou de revente à des concurrents;
  • obtenir des données militaires.

Différences entre le phishing et le phishing ciblé


  1. Sélection cible. L'hameçonnage fonctionne sur le principe de «pulvériser et prier» (diffuser et attendre): un message préparé est dispersé par un grand nombre de personnes dans l'espoir qu'au moins l'une d'entre elles puisse être dupe. Le phishing ciblé est une attaque ciblée. Son objectif est une certaine entreprise, certains employés ou une personne spécifique, et donc un message ne leur sera envoyé.
  2. Le niveau de compétence de l'attaquant. Le phishing requiert des compétences moindres et est initialement conçu pour un grand nombre d'échecs. Le phishing ciblé, en tant qu'attaque ciblée, est plus complexe et utilise des techniques plus avancées, et nécessite également une formation préalable plus approfondie.
  3. La capacité de détecter. Il résulte également du paragraphe précédent que le phishing ciblé est plus difficile à détecter que le phishing classique.
  4. Le but de l'attaque. À la suite de l'une des deux attaques, un attaquant peut chercher à obtenir des connexions, des mots de passe ou d'autres données, mais le phishing implique un gain rapide en avantages, par exemple en argent. Dans ce cas, il est peu probable qu'un attaquant soit intéressé à obtenir dix comptes des courriers de personnes inconnues. Avec le phishing ciblé, même si l'objectif est un mot de passe de messagerie, ce sera une étape significative. L'attaquant sait peut-être que des informations précieuses sont stockées dans ce courrier, mais il est possible que ce ne soit qu'une étape d'une attaque à plusieurs niveaux.

Cours d'attaque


Considérez la progression d'une attaque de phishing ciblée en utilisant l'exemple d'un e-mail.


Tout d'abord, l'attaquant effectue de nombreux travaux préliminaires pour trouver des informations sur la cible. Il peut s'agir de l'adresse e-mail et du nom des contractants ou des collègues, des passe-temps, des achats récents ou d'autres choses qui peuvent être apprises sur les réseaux sociaux - toute information qui aidera à confondre le destinataire dans le corps de la lettre et à lui faire croire en sa véracité.
Puis, armé de toutes les données obtenues de sources accessibles, l'attaquant compose une lettre de phishing au nom d'une personne que la victime connaît (collègue, membre de la famille, ami, client, etc.). Le message envoyé doit créer un sentiment d'urgence et convaincre le destinataire d'envoyer des informations personnelles dans la réponse, de les saisir en cliquant sur le lien dans la lettre ou de télécharger le malware à partir des pièces jointes à la lettre.
Dans certains cas, dans un scénario idéal pour un attaquant, après que la lettre a «fonctionné», une porte dérobée est installée sur la machine de la cible, lui permettant de voler les informations nécessaires. Il est collecté, crypté et envoyé à l'attaquant.


Méthodes de protection


Moyens techniques de protection:


  1. Filtre anti-spam Il peut être installé sur le serveur de messagerie. Certains e-mails de phishing peuvent être identifiés par leur contenu. Certes, si vous essayez de filtrer tous les e-mails indésirables de cette manière, il y a une forte probabilité de faux positifs, car les e-mails de phishing (en particulier avec le phishing ciblé) imitent les messages légitimes.
  2. Vérification des adresses des expéditeurs de la lettre. L'expéditeur spécifié dans la lettre et l'expéditeur réel dans l'en-tête peuvent ne pas correspondre. Le filtre peut également vérifier, par exemple, que le domaine de l'expéditeur est similaire au domaine de l'entreprise, mais qu'il est mal orthographié.
  3. Analysez les pièces jointes dans les lettres pour détecter les virus et dans le bac à sable. Avant que le destinataire ne reçoive une lettre contenant la pièce jointe exécutable, elle est vérifiée par un antivirus ou lancée dans le bac à sable.
  4. Lettres majuscules contenant des liens et des fichiers exécutables dans les pièces jointes. Une variation plus difficile du paragraphe précédent, mais vraiment utilisée à certains endroits et protégeant contre certains vecteurs d'attaque.

Quelles que soient les mesures techniques de protection prises, une lettre indésirable peut toujours se trouver dans la boîte aux lettres. Par conséquent, il vaut la peine de faire attention aux choses suspectes dans les lettres:


  1. Expéditeur


    • C'est quelqu'un avec qui vous ne communiquez pas habituellement.
    • Vous ne connaissez pas personnellement l'expéditeur et aucun de ceux en qui vous avez confiance ne s'en est porté garant.
    • Vous n'avez aucune relation commerciale avec l'expéditeur et vous n'avez jamais communiqué auparavant.
    • Une lettre d'une personne extérieure à l'entreprise et ne s'applique pas à vos responsabilités professionnelles.
    • Vous connaissez l'expéditeur, mais la lettre est écrite d'une manière très inhabituelle pour cette personne.
    • Le domaine de l'expéditeur est précisé (par exemple, sbrebank.ru).

  2. Le destinataire.


    • Parmi les destinataires, outre vous, il y a d'autres personnes, mais vous ne connaissez aucune d'entre elles.

  3. Les références


    • Lorsque vous passez la souris sur le lien indiqué dans la lettre, il est clair qu'en réalité le lien sur lequel vous cliquerez lorsque vous cliquez dessus est complètement différent.
    • En plus du lien dans la lettre, il n'y a rien de plus.
    • Le lien contient une adresse similaire à un site bien connu, mais il a fait une erreur.

  4. Date de réception.


    • Courriel reçu à des moments inhabituels. Par exemple, il s'agit du travail, mais il a été envoyé tard le soir, en dehors des heures de travail.

  5. Objet de la lettre.


    • Le sujet de la lettre ne correspond pas au texte de la lettre.
    • Le sujet est marqué comme une réponse à une lettre que vous n'avez jamais réellement envoyée.

  6. Pièces jointes.


    • L'expéditeur a joint au fichier un fichier auquel vous ne vous attendiez pas (généralement vous ne recevez pas ce type de pièce jointe de cette personne) ou qui n'a rien à voir avec le texte du message.
    • Une pièce jointe a une extension potentiellement dangereuse. Le seul type de fichier sûr est .txt.

  7. Le contenu de la lettre.


    • L'expéditeur demande de suivre le lien ou d'ouvrir la pièce jointe afin d'éviter toute conséquence négative ou, au contraire, d'obtenir quelque chose de précieux.
    • Le texte semble inhabituel ou contient de nombreuses erreurs.
    • L'expéditeur demande de suivre le lien ou d'ouvrir une pièce jointe qui semble étrange ou illogique.
    • L'expéditeur vous demande d'envoyer des données confidentielles par courrier ou SMS.


Évidemment, il ne suffit pas de connaître et de suivre ces règles. Il est également nécessaire de transmettre ces informations à d'autres personnes de l'entreprise. Il est beaucoup plus facile de résister à une attaque quand on sait que cela peut arriver. Il est important de former les employés et de leur parler des attaques de phishing. Il peut également être utile de procéder de temps à autre à des tests sociotechniques pour s'assurer que les informations ont bien été acquises.


Résumé


Il est plus difficile de résister aux attaques de l'ingénierie sociale, car les gens deviennent la dernière frontière. Un attaquant peut également connaître toutes les méthodes techniques de protection, il peut donc inventer un moyen de les contourner. Cependant, la connaissance et la mise en œuvre de règles simples réduisent considérablement le risque d'une attaque réussie.
Vous voulez vous assurer que vos systèmes sont bien protégés? Ou vous souhaitez savoir comment transmettre des informations aux employés? Contactez-nous, nous nous ferons un plaisir d'effectuer des tests sociotechniques ou de vous aider à vous former et à parler de telles attaques.

Source: https://habr.com/ru/post/fr472368/

More articles:


All Articles