L'évolution lente mais constante du phishing — PARTIE II

👉 Cet article fait suite à la Partie 1 sur l'évolution lente mais constante du phishing 👨‍💻🎣

L’évolution du phishing 2011-2020

Les attaques de masses fonctionnent de moins en moins au profit des attaques de spear phishing, voir de « whaling » (pêche à la baleine). Comme son nom l’indique, l’attaque de whaling est ni plus ni moins une attaque de spear phishing où la victime est un gros poisson — c’est à dire une cible VIP (dirigeant, décisionnaire, etc.). Le potentiel gain en cas de succès de l’attaque devient alors très important.

Ce type d’attaque peut mener à de graves conséquences pour les entreprises qui en sont victimes :

• Facebook et Google ont été victimes d’une attaque de whaling entre 2013 et 2015 avec un préjudice estimé à environ 100 millions de dollars. Le cybercriminel lituanien a réalisé cet exploit en envoyant à chaque entreprise une série de fausses factures, tout en se faisant passer pour un gros fournisseur.
• En 2016, un employé de Snapchat a divulgué tous les salaires des employés de l'entreprise à un cybercriminel. L'employé avait répondu à un e-mail qui semblait provenir du PDG et avait répondu rapidement. Les équipes RH et paie sont fréquemment la cible d'attaques de whaling car elles ont accès à des données sensibles.

Le développement des solution anti-phishing

Bien que certaines solutions anti-phishing soient nées dès les années 2000, la majorité des solutions s’est développée dans la décennie suivante. De nombreuses recherches ont été menées dans le domaine de la prévention et détection du phishing. Les solutions proposées vont de la détection logicielle des attaques de phishing à la formation des utilisateurs en passant par la sensibilisation et la communication interne.

Les solutions logicielles et matérielles ont particulièrement évolué ces 10 dernières années :

1. Détection des fausses extensions de navigateur
2. Meilleure méthode d’authentification grâce au MFA (Multi-Factor Authentication)
3. Filtrage actif des emails par certains fournisseurs
4. Surveillance et détection en temps réel des sites web hostiles par certains navigateurs
5. Désactivation automatique des scripts malveillants (Java, etc.)
6. Adoption de nouvelles méthodes de développement (Privacy/Security by Design)
7. etc.

Les solutions anti-phishing actuelles offrent une couche de défense supplémentaire contre les attaques de phishing. Cependant, de tels dispositifs sont souvent coûteux et parfois inefficaces en fonction de la diversité des attaques de phishing.

À certains égards, les principales méthodes de phishing sont restées les mêmes. L’objectif est toujours le même : s’introduire via des logiciels malveillants ou d'accéder aux informations d'identification d’un utilisateur. Encore aujourd’hui, cela est le plus souvent accompli via des liens corrompus ou des pièces jointes malveillantes.

Ce qui a principalement changé, c'est la présentation. Bien qu'il existe encore des e-mails avec des adresses e-mail manifestement fausses et criblés de fautes d'orthographe, un nombre important d’emails de phishing est devenu difficile à repérer.

Par exemple, récemment des cybercriminels ont lancé des attaques de « détournement de conversation », en utilisant des comptes de messagerie précédemment compromis pour répondre aux fils de discussion en cours. L’attaque consiste ensuite à déterrer un email de longue date en répondant avec des liens malveillants ou des pièces jointes, prenant facilement au dépourvu les destinataires.

D’aucuns mènent à des sites internet proposant des procédures d'identification qui sont identiques au site qu'ils imitent comme par exemple dans notre article sur le contournement d'identification multi-facteurs.

Nous comprenons alors que même avec un oeil avisé, il est très difficile de repérer les attaques sophistiqués, l'entraînement en condition réelle et la formation des collaborateurs face au phishing deviennent alors clé pour détecter les attaques les plus abouties.

Le phishing et les smartphones

En l’espace d’un an, le phishing via mobile a augmenté de près de 40%*. Toujours selon le même rapport, cela représente une perte 35 millions de dollars pour une entreprise possédant 10 000 téléphones mobiles.

Les cybercriminels utilisent désormais les applications de messageries instantanées comme WhatsApp, Messenger, Instagram ou encore les SMS comme moyen de phishing. Ces attaques sont encore trop souvent minorées ou non prises en compte par les professionnels de la cybersécurité et pourtant elles peuvent, au même titre que les attaques par email, mettre en danger leurs organisations.

Parmi ces attaques, les principaux risques sont liés aux :

• Applications mobiles : qui manque de contrôle de sécurité, la friction à l’installation est quasi nulle et beaucoup d’utilisateurs ne font pas attention aux permissions qu’ils donnent à ces applications.
• Vols : contrairement aux ordinateurs où les politiques de sécurité imposent le chiffrement du disque ou l’authentification forte, les téléphones sont eux parfois mal sécurisés avec comme seul code de déverouillage la date de naissance du propriétaire. Les données que contiennent les téléphones de vos employés ont certainement beaucoup plus de valeur que le téléphone lui-même.
• SMiShing : les attaques par SMS ont le vent en poupe, de par leur rareté et manque de filtrage en amont, elles ont souvent un taux de succès plus élevé lorsqu’elle sont bien opérées par les cybercriminels.

Cette liste est non exhaustive mais permet de se rendre compte de la diversité des vecteurs d’attaques que présente les téléphones mobiles de vos collaborateurs.

Attaque par SmiShing de Revolut en utilisant un « i » majuscule à la place du « l »

Pour l'anecdote, entre 2011 et 2014, trois citoyens roumains ont entrepris des attaques successives par smishing et vishing sur des citoyens américains. La totalité de leur recette s’élève à 21 millions de dollars, soit 7 millions / an.

La distance géographique avec les États-Unis ne les protègera pas pour autant puisqu’ils se sont fait rattrapés par le FBI en 2017, extradés en 2018 ils ont été condamnés respectivement à 8 ans, 7 ans et 4 ans de prison après avoir plaidé coupable.

Le repérage des attaques smishing est un défi difficile d'un point de vue technique. Les SMS malveillants sont beaucoup plus difficiles à détecter et bloquer automatiquement que les e-mails de phishing, et les entreprises sont souvent démunies face à ces attaques. Les solutions de MDM (Mobile device management) permettent de rendre les appareils compatibles avec la politique sécurité de l'entreprise, mais ne bloquent ni n'empêchent les SMS et sites web malveillants.

Cependant, les entreprises à risque peuvent se défendre en sensibilisant leurs collaborateurs au moyen de simulation de campagne de SMiShing. Cette expérience, très proche des conditions réelles, permet aux collaborateurs piégés de prendre conscience du danger et d’adopter les bon réflexes dans les prochaines campagnes de simulation ou réelles attaques.

Le futur du phishing

S’il était simple de prédire l’avenir que nous réserve le phishing, nous ne nous attarderions pas à écrire ces lignes. En effet, le phishing — à l’instar des autres cybercriminalités — c'est le jeu du chat et de la souris : celui qui déjoue les avancées de l'autre gagnera le premier.

Cependant, nous pouvons prendre quelques pronostics sur les techniques qui se développeront dans les prochaines années, et celles qui se feront de plus en plus rare. Il est par exemple évident que les attaques de masse les moins sophistiqués ne se retrouveront plus jamais dans votre boite email dans les années à venir, c’est déjà le cas pour de nombreuses attaques à faible technicité.

En revanche, les attaques de spear phishing vont continuer de se développer en utilisant des subterfuges nécessitant parfois de grande capacités humaines et techniques pour les mettre en oeuvre. Les gangs de cybercriminels — qu’ils soient hacktivistes, politisés ou simplement intéressés par l'appât du gain — ont justement ces ressources. À l’image de Rock Phish, Avalanche, Fancy Bear ou encore Emotet, ils continueront de défrayer la chronique dans les années à venir avec sommes dérobées toujours plus vertigineuses.

Le vishing

Le « vishing » est la contraction de voice et phishing, c’est donc du phishing par téléphone.

À l’instar du phishing par email, il s’agit là d'usurper l’identité d’un individu ou d’une organisation pour obtenir des informations privées ou financière dans le but de frauder la victime.

C’est une pratique criminelle d'ingénierie sociale qui existe depuis M̶a̶t̶h̶u̶s̶a̶l̶e̶m̶ que le téléphone existe, mais qui s’est démocratisée avec l’arrivée des technologies VoiP qui ont permis d’automatiser le processus d’appel et de diminuer drastiquement les coûts de communication.

Voici quelques exemples de scénarios de vishing des plus classiques qui s’adressent aussi bien aux particuliers qu’aux entreprises:

• Proposer un remboursement exclusif suite à un achat de fenêtre double-vitrage en indiquant que ceci est un crédit d’impôt
• Demander des informations confidentielles en se faisant passer pour un opérateur mobile
• Obtenir des informations bancaires en se faisant passer pour un fournisseur pour lequel un paiement n’est pas passé correctement

Malheureusement, il n’y a pas grand-chose à faire pour se protéger contre les cyber-criminels qui vous incitent à divulguer des informations sur votre entreprise. La faute incombe parfois aux standardistes et secrétaires des entreprises qui ne respecte pas toujours les procédures appropriées de vérification de l’identité de l’interlocuteur.

Là où les choses se corsent, c’est qu’une fois combiné au voice cloning, le vishing peut s’avérer très dangereux pour quiconque en est la cible. Nous pensons que cette alliance vishing/voice cloning va s’intensifier dans les années à venir pour enfin devenir une méthode de phishing traditionnelle.

Le voice cloning

Le « voice cloning » ou clonage de voix permet comme son nom l’indique, de dupliquer la voix d’un individu à partir de sa voix originale afin de lui faire dire ce que l’on souhaite.

Aujourd’hui, le voice cloning est de plus en plus demandé sur le marché en raison de ses applications très variées : assistants conversationnels, haut-parleurs intelligents, doublage cinématographique, personnages numériques, jeux-vidéo, livres audio, systèmes de GPS, etc.

Cependant, le revers de la médaille est que comme souvent avec les NTIC, le voice cloning peut être utilisé à mauvais escient.

Comment réagiriez-vous si votre supérieur hiérarchique n+2 vous appelle pour vous demander une information confidentielle sur un contrat sur lequel vous travaillez ? La seule différence avec la réalité, c’est que la personne à qui vous parlez n’est en fait pas votre supérieur hiérarchique mais un fraudeur en pleine action.

C’est ce genre d’attaque auxquelles nous devons nous préparer à faire face dans le futur. La lutte est dors et déjà en ordre de marche puisque nous voyons dès aujourd’hui apparaître de nouvelles solutions qui permettent la détection de voice cloning. Mais à mesure que ces technologies se développent et que les modèles de machine learning sont de mieux en mieux entraînés, il sera de plus en plus difficile de détecter le vrai du faux.

Prévision du voice cloning 2019-2026

À ce jour, le voice cloning n’est plus un concept mais bel et bien une réalité dans le monde du phishing, des escroqueries à grande échelle se sont déjà produites et ont coûté la modique somme de 220 000 euros au PDG d’une entreprise allemande : « les criminels ont utilisés un logiciel générateur de voix par intelligence artificielle pour se faire passer pour le patron d'une société mère allemande qui possède une entreprise basée au Royaume-Uni dans le secteur énergétique”**.

Faire prendre conscience que cette technologie existe et à quel point elle est sophistiquée est la première étape pour se défendre face à cette nouvelle menace. Les solutions techniques vont certes nous aider à nous défendre, mais elles ne seront pas infaillibles à 100%. Notre capacité à évaluer de manière critique une situation et à vérifier la source et véracité de l'information deviendra de plus en plus importante dans le monde de demain.

Les deepfakes

Le mot « deepfake » est un mot-valise formé à partir de deep learning (apprentissage profond) et fake (faux). C’est une technique de synthèse d'images basée sur l'intelligence artificielle utilisée pour créer des infox et des canulars malveillants.

Les contenus de deepfakes sont créés grâce au deep learning en appliquant la simulation de réseaux neuronaux à des ensembles de données massives, afin de créer des faux très réalistes.

De la même façon que le voice cloning, le deepfake ajoute une nouvelle dimension à l'escroquerie : la personne qui parle et que vous voyez derrière votre écran n’est pas réelle mais bien un clone.

Les deepfakes utilisés avec succès dans des attaques de spear phishing sont la preuve qu'un nouveau concept est en train de voir le jour.

Quoi qu’il en soit, les deepfakes soulèvent de nombreuses interrogations. Peut-être que cette nouvelle technique ne fonctionnera pas aussi bien que les techniques plus traditionnelles ? Peut-être que les deepfakes seront la principale cyber-menace en 2030 ? Aujourd’hui la mise en place de deepfakes nécessite des efforts considérables et d’autres techniques plus simples fonctionnent toujours.

Mais les cyber-criminels ont prouvé que les deepfakes peuvent fonctionner tout autant que les méthodes plus traditionnelles, nous devrions donc nous attendre à voir de plus en plus d’attaques de ce genre dans les années à venir.

Conclusion

Tous les indicateurs nous laissent à penser que la menace de phishing en tant que vecteur d'attaque en cybersécurité est là pour durer. En effet, le phishing en tant que technique évolue rapidement vers des niveaux de sophistication plus élevés en tirant parti des puissantes capacités de l'intelligence artificielle.

La panique entourant la COVID-19, les élections américaines et d'autres événements importants ne feront qu’exacerber la menace en servant d'environnement idéal pour que les campagnes de phishing insidieuses se développent en visant aussi bien pour les particuliers que les entreprises.

Bien se préparer pour le jour J

La meilleure défense contre le phishing reste votre intuition, votre jugement, votre intelligence, votre bon sens et votre prudence.

Malheureusement, dans un monde en constante évolution où le temps d’attention de tout un chacun est en baisse et où, à l’image de la génération Y, on ne veut plus patienter pour obtenir les choses, il devient de plus en plus difficile de faire preuve de prudence avant de cliquer sur un lien.

C'est pourquoi les logiciels anti-phishing gagnent en importance pour nous aider à mieux juger les situations auxquelles nous faisons face. Néanmoins, quelques conseils de bon sens peuvent vous éviter de devenir la prochaine victime.

Faites attention à l'expéditeur des e-mails que vous recevez : lisez toujours les adresses e-mail des expéditeurs dans votre boîte de réception. Le diable se cache dans les détails : petites fautes d'orthographe, homoglyphes, ponctuations, etc. sont signes que quelque chose ne va pas.

Soyez prudent avant d'effectuer une action que l’on vous demande : les e-mails de phishing vous demandent généralement d'effectuer certaines actions malveillantes telles que cliquer sur un lien ou fournir des informations confidentielles, numéros de compte bancaire, etc. Ces e-mails doivent vous alerter, en cas de doute, décrochez votre téléphone et demandez confirmation par un autre moyen que par e-mail.

Pièces jointes suspectes : les pièces jointes malveillantes sont également très utilisés par les phishers. Si vous n’attendez pas de pièces jointes de quelqu’un, il est préférable d'éviter de télécharger quoi que ce soit et de demander confirmation par téléphone.

Source : *Lookout 2020 Mobile Phishing Spotlight Report; **The Next Web

‍