{"id":14965,"date":"2020-05-29T12:00:04","date_gmt":"2020-05-29T12:00:04","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=14965"},"modified":"2020-06-03T10:14:25","modified_gmt":"2020-06-03T10:14:25","slug":"fighting-internal-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fighting-internal-bec\/14965\/","title":{"rendered":"Attaques BEC internes : comment les g\u00e9rer ?"},"content":{"rendered":"<p>Au cours de ces derni\u00e8res ann\u00e9es, les attaques de compromission de la messagerie d\u2019entreprise (Business Email Compromise ou BEC) sont devenues de plus en plus fr\u00e9quentes. Leur objectif est de compromettre la correspondance commerciale dans le but de perp\u00e9trer une fraude financi\u00e8re, d\u2019extraire des informations confidentielles ou de nuire \u00e0 la r\u00e9putation d\u2019une entreprise. Dans notre article pr\u00e9c\u00e9dent<a href=\"https:\/\/www.kaspersky.com\/blog\/what-is-bec-attack\/34135\/\" target=\"_blank\" rel=\"noopener nofollow\"> sur les types d\u2019attaques BEC et la mani\u00e8re de les g\u00e9rer<\/a>, nous avons parl\u00e9 des d\u00e9tournements des comptes de messagerie \u00e9lectronique. Aujourd\u2019hui, cependant, nous parlons du type d\u2019attaque BEC le plus dangereux : l\u2019attaque BEC interne. Nous avons r\u00e9cemment d\u00e9velopp\u00e9 et mis en \u0153uvre une nouvelle technologie pour vous prot\u00e9ger contre cette menace sp\u00e9cifique.<\/p>\n<h2>Pourquoi une attaque BEC interne est plus dangereuse qu\u2019une attaque externe<\/h2>\n<p>Les attaques BEC internes diff\u00e8rent des autres sc\u00e9narios d\u2019attaque dans le fait que les courriers \u00e9lectroniques frauduleux sont envoy\u00e9s \u00e0 partir d\u2019adresses l\u00e9gitimes au sein d\u2019une m\u00eame entreprise. En d\u2019autres termes, pour lancer une attaque interne, un attaquant doit avoir obtenu l\u2019acc\u00e8s au compte de messagerie d\u2019un employ\u00e9. Cela signifie que vous ne pouvez pas compter sur les m\u00e9canismes d\u2019authentification du courrier \u00e9lectronique (DKIM, SPF, DMARC) pour l\u2019emp\u00eacher ; les outils standard anti-phishing et anti-spam automatiques, qui recherchent les incoh\u00e9rences dans les en-t\u00eates techniques ou les adresses modifi\u00e9es, ne pourront pas non plus vous aider.<\/p>\n<p>Habituellement, le message provenant de la bo\u00eete de messagerie compromise contient une demande de transfert d\u2019argent (\u00e0 un fournisseur, un entrepreneur, le bureau des imp\u00f4ts, etc.), ou d\u2019envoi d\u2019informations confidentielles. Tout cela est assaisonn\u00e9 de<a href=\"https:\/\/www.kaspersky.fr\/blog\/phishing-psychology\/11377\/\" target=\"_blank\" rel=\"noopener\"> techniques d\u2019ing\u00e9nierie sociale<\/a> courantes. Les cybercriminels essaient de presser le destinataire (si nous ne payons pas la facture aujourd\u2019hui, la soci\u00e9t\u00e9 va devoir verser une amende !), font des menaces (je vous ai demand\u00e9 d\u2019effectuer le paiement le mois dernier, qu\u2019est-ce que vous attendez ?!), adoptent un ton autoritaire qui ne laisse aucune marge de man\u0153uvre, ou utilisent d\u2019autres stratag\u00e8mes classiques d\u2019ing\u00e9nierie sociale. Combin\u00e9 \u00e0 une adresse l\u00e9gitime, cela peut donner quelque chose de tr\u00e8s convaincant.<\/p>\n<p>Les attaques BEC internes peuvent \u00e9galement d\u00e9ployer des e-mails contenant des liens vers de faux sites dont les URL diff\u00e8rent de l\u2019adresse de l\u2019organisation cible (ou d\u2019une autre page de confiance) d\u2019une ou deux lettres seulement (un \u00a0\u00bb i \u00a0\u00bb majuscule au lieu d\u2019un \u00a0\u00bb L \u00a0\u00bb minuscule, ou vice versa, par exemple). Le site peut h\u00e9berger un formulaire de paiement ou un questionnaire demandant des informations confidentielles. Imaginez que vous recevez un message de ce type de la part de votre patron : \u00a0\u00bb Nous avons d\u00e9cid\u00e9 de vous envoyer \u00e0 la conf\u00e9rence. R\u00e9servez le billet \u00e0 partir de notre compte d\u00e8s que possible afin que nous puissions b\u00e9n\u00e9ficier de la r\u00e9duction pour les inscriptions anticip\u00e9es. \u00a0\u00bb Avec un lien qui ressemble au site de l\u2019\u00e9v\u00e9nement le plus important de votre secteur, cela semble assez convaincant. Quelles sont les chances que vous preniez le temps d\u2019\u00e9tudier attentivement chaque lettre du nom de la conf\u00e9rence si tout,du d\u00e9but \u00e0 la signature de l\u2019e-mail, vous semble correct ?<\/p>\n<h2>Comment prot\u00e9ger l\u2019entreprise contre les attaques BEC internes<\/h2>\n<p>Techniquement, le courrier \u00e9lectronique est parfaitement l\u00e9gal, de sorte que la seule fa\u00e7on de reconna\u00eetre un faux est de juger le contenu. En faisant passer de nombreux messages falsifi\u00e9s par des algorithmes d\u2019apprentissage automatique, il est possible d\u2019identifier des traits qui, combin\u00e9s, peuvent aider \u00e0 d\u00e9terminer si un message est r\u00e9el ou s\u2019il fait partie d\u2019une attaque BEC.<\/p>\n<p>Heureusement (ou malheureusement, selon les points de vue), nous ne manquons pas d\u2019\u00e9chantillons. Nos pi\u00e8ges de courrier \u00e9lectronique d\u00e9tectent chaque jour des millions de messages de spam dans le monde entier. Ils comprennent un nombre consid\u00e9rable d\u2019e-mails de phishing \u2013 qui ne sont pas des attaques BEC internes, bien s\u00fbr, mais qui utilisent les m\u00eames astuces et ont les m\u00eames objectifs, de sorte que nous pouvons les utiliser pour apprendre. Pour commencer, nous formons un classificateur sur ce grand volume d\u2019\u00e9chantillons afin d\u2019identifier les messages contenant des signes de fraude. L\u2019\u00e9tape suivante du processus d\u2019apprentissage automatique se fait directement sur le texte. Les algorithmes s\u00e9lectionnent des termes pour la d\u00e9tection des messages suspects, sur la base desquels nous d\u00e9veloppons des r\u00e8gles heuristiques que nos produits peuvent utiliser pour identifier les attaques. Tout un ensemble de classificateurs d\u2019apprentissage automatique participe au processus.<\/p>\n<p>Mais ce n\u2019est pas une raison pour se d\u00e9sint\u00e9resser du sujet ! Nos produits peuvent maintenant d\u00e9tecter beaucoup plus d\u2019attaques BEC qu\u2019auparavant, mais apr\u00e8s avoir acc\u00e9d\u00e9 au compte de courrier \u00e9lectronique d\u2019un employ\u00e9, un intrus peut \u00e9tudier son style et essayer de l\u2019imiter lors d\u2019une attaque unique. Il ne faut pas baisser la garde.<\/p>\n<p>Nous vous recommandons d\u2019examiner attentivement les messages demandant un virement de fonds ou la divulgation de donn\u00e9es confidentielles. Ajoutez une couche d\u2019authentification suppl\u00e9mentaire en t\u00e9l\u00e9phonant ou en envoyant un message (dans un service de confiance) au coll\u00e8gue en question, ou en lui parlant en personne pour clarifier les d\u00e9tails.<\/p>\n<p>Nous utilisons les r\u00e8gles heuristiques que notre technologie anti-BEC g\u00e9n\u00e8re dans <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/microsoft-office-365-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kso365___\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Microsoft Office 365<\/a>, et nous pr\u00e9voyons de les implanter \u00e9galement dans d\u2019autres solutions.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les attaques de compromission de la messagerie d&rsquo;entreprise qui utilisent des bo\u00eetes mail compromises sont particuli\u00e8rement dangereuses. Voici comment les identifier.<\/p>\n","protected":false},"author":2598,"featured_media":14966,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[3698,505,89,632],"class_list":{"0":"post-14965","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-bec","11":"tag-e-mail","12":"tag-phishing","13":"tag-technologies"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fighting-internal-bec\/14965\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fighting-internal-bec\/21361\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fighting-internal-bec\/16823\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fighting-internal-bec\/22427\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fighting-internal-bec\/20566\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fighting-internal-bec\/18979\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fighting-internal-bec\/22804\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fighting-internal-bec\/21831\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fighting-internal-bec\/28476\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fighting-internal-bec\/8380\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fighting-internal-bec\/35691\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fighting-internal-bec\/15515\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fighting-internal-bec\/13501\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fighting-internal-bec\/24133\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fighting-internal-bec\/28536\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/fighting-internal-bec\/25462\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fighting-internal-bec\/22363\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fighting-internal-bec\/27640\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fighting-internal-bec\/27472\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/bec\/","name":"BEC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14965","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=14965"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14965\/revisions"}],"predecessor-version":[{"id":14978,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14965\/revisions\/14978"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/14966"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=14965"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=14965"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=14965"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}