{"id":15717,"date":"2020-09-23T13:37:10","date_gmt":"2020-09-23T13:37:10","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15717"},"modified":"2020-09-23T13:37:10","modified_gmt":"2020-09-23T13:37:10","slug":"delayed-phishing-countermeasures","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/delayed-phishing-countermeasures\/15717\/","title":{"rendered":"Comment lutter contre l&rsquo;hame\u00e7onnage en diff\u00e9r\u00e9"},"content":{"rendered":"<p>L\u2019hame\u00e7onnage a longtemps \u00e9t\u00e9 un vecteur d\u2019attaque majeur sur les r\u00e9seaux d\u2019entreprise. Il n\u2019est donc pas surprenant que chacun et chaque chose, des fournisseurs de messagerie \u00e9lectronique aux passerelles e-mail mais aussi aux navigateurs, aient des filtres anti-hame\u00e7onnage et des outils qui scannent les adresses e-mail \u00e0 la recherche d\u2019\u00e9l\u00e9ments malveillants. Par cons\u00e9quent, les cybercriminels inventent constamment de nouvelles m\u00e9thodes de contournement, ou am\u00e9liorent celles d\u00e9j\u00e0 utilis\u00e9es. L\u2019hame\u00e7onnage en diff\u00e9r\u00e9 (<em>delayed phishing<\/em>) est une de ces techniques.<\/p>\n<h2>Qu\u2019est-ce que l\u2019hame\u00e7onnage en diff\u00e9r\u00e9 ?<\/h2>\n<p>L\u2019hame\u00e7onnage en diff\u00e9r\u00e9 est une tentative qui cherche \u00e0 tromper la victime et \u00e0 la rediriger vers un site malveillant, ou une imitation, gr\u00e2ce \u00e0 une technique connue comme <em>Post-Delivery Weaponized URL<\/em>. Comme son nom l\u2019indique, il s\u2019agit tout simplement de remplacer le contenu en ligne par une version malveillante apr\u00e8s avoir envoy\u00e9 un e-mail qui redirige vers la page. En d\u2019autres termes, la victime potentielle re\u00e7oit un e-mail avec un lien qui ne redirige vers rien, ou l\u2019envoie vers une ressource l\u00e9gitime qui a d\u00e9j\u00e0 \u00e9t\u00e9 compromise mais n\u2019a pas encore de contenu malveillant. Par cons\u00e9quent, le message passe les filtres. Les algorithmes de protection trouvent l\u2019URL dans le texte, analysent le site associ\u00e9, ne d\u00e9tectent rien de dangereux et laissent entrer le message.<\/p>\n<p>\u00c0 un certain moment apr\u00e8s la r\u00e9ception du message (toujours apr\u00e8s qu\u2019il soit re\u00e7u mais, si possible, avant qu\u2019il ne soit lu) les cybercriminels changent le site du lien qui figure dans le message ou active un contenu malveillant sur une page jusqu\u2019alors inoffensive. Ils peuvent utiliser diverses astuces : imitation d\u2019un site bancaire ou encore exploit de navigateur qui cherche \u00e0 atteindre l\u2019ordinateur de la victime. Pourtant, dans 80 % des cas c\u2019est un site d\u2019hame\u00e7onnage.<\/p>\n<h2>Comment les cybercriminels arrivent-ils \u00e0 tromper les algorithmes anti-hame\u00e7onnage ?<\/h2>\n<p>Ils se servent d\u2019une de ces trois m\u00e9thodes pour que leurs messages passent les filtres.<\/p>\n<ul>\n<li><strong>Utilisation d\u2019un lien simple<\/strong>. Dans ce genre d\u2019attaque, les responsables contr\u00f4lent le site pris pour cible\u00a0: cr\u00e9ation de la page ou piratage. Les cybercriminels pr\u00e9f\u00e8rent la seconde option puisqu\u2019elle a tendance \u00e0 avoir une bonne r\u00e9putation et que les algorithmes de s\u00e9curit\u00e9 l\u2019aiment bien. Au moment de la r\u00e9ception du message, le lien redirige soit vers un site sans aucun sens soit (et c\u2019est plus souvent le cas) vers une page qui affiche le message d\u2019erreur 404.<\/li>\n<li><strong>Retournement de situation avec le lien raccourci<\/strong>. De nombreux outils en ligne permettent \u00e0 n\u2019importe qui de raccourcir une URL. Les liens courts simplifient la vie des utilisateurs. En r\u00e9alit\u00e9, ce lien court et facile \u00e0 retenir s\u2019allonge par la suite. En d\u2019autres termes, il ne fait que rediriger l\u2019utilisateur. Avec certains services, vous pouvez modifier le contenu cach\u00e9 derri\u00e8re un lien court, une \u00e9chappatoire que les cybercriminels peuvent exploiter. Lorsque le message est re\u00e7u, l\u2019URL ouvre un site l\u00e9gitime qui devient malveillant apr\u00e8s que les escrocs ont modifi\u00e9 l\u2019URL.<\/li>\n<li><strong>Ajout d\u2019un lien court et al\u00e9atoire<\/strong>. Certains outils utilis\u00e9s pour raccourcir les liens permettent une redirection probabiliste. Cela signifie que le lien a 50 % de chance de vous amener sur google.com et 50 % de chance d\u2019ouvrir un site d\u2019hame\u00e7onnage. La possibilit\u00e9 de finir sur un site l\u00e9gitime semble perturber les collecteurs (programmes pour la collecte automatique d\u2019informations).<\/li>\n<\/ul>\n<h2>Quand les liens deviennent-ils malveillants ?<\/h2>\n<p>Les cybercriminels partent g\u00e9n\u00e9ralement du principe que leur victime est une personne normale qui dort la nuit. C\u2019est pourquoi les messages d\u2019hame\u00e7onnage en diff\u00e9r\u00e9 sont envoy\u00e9s apr\u00e8s minuit (fuseau horaire de la victime) et deviennent malveillants quelques heures plus tard, presque \u00e0 l\u2019aube. Si nous analysons de plus pr\u00e8s les statistiques des m\u00e9canismes de lutte contre l\u2019hame\u00e7onnage, nous constatons un pic entre 7 et 10 heures du matin, lorsque les utilisateurs qui fonctionnent au caf\u00e9 cliquent sur les liens innocents au moment de l\u2019envoi mais malveillants maintenant.<\/p>\n<p>N\u2019oubliez pas le <em>spear phishing<\/em>. Si les cybercriminels d\u00e9cident de s\u2019en prendre \u00e0 une personne en particulier, ils peuvent \u00e9tudier sa routine et activer le lien malveillant suivant l\u2019heure \u00e0 laquelle cette personne consulte g\u00e9n\u00e9ralement ses e-mails.<\/p>\n<h2>Comment d\u00e9tecter l\u2019hame\u00e7onnage en diff\u00e9r\u00e9<\/h2>\n<p>Dans l\u2019id\u00e9al, nous devons \u00e9viter que le lien d\u2019hame\u00e7onnage n\u2019atteigne l\u2019utilisateur et il semblerait qu\u2019une nouvelle analyse de la bo\u00eete de r\u00e9ception soit la meilleure option. C\u2019est possible dans certains cas, notamment si votre entreprise utilise le serveur de messagerie Microsoft Exchange.<\/p>\n<p>Depuis septembre, Kaspersky Security for Microsoft Exchange est compatible avec l\u2019int\u00e9gration du serveur de messagerie en passant par l\u2019API native, ce qui permet d\u2019analyser \u00e0 nouveau les messages qui sont d\u00e9j\u00e0 dans la bo\u00eete de r\u00e9ception. Une heure d\u2019analyse bien configur\u00e9e garantit la d\u00e9tection des tentatives d\u2019hame\u00e7onnage sans cr\u00e9er de charge suppl\u00e9mentaire sur le serveur aux heures de pointe.<\/p>\n<p>Notre solution vous permet \u00e9galement de surveiller vos messages internes (qui ne passent pas par la passerelle de s\u00e9curit\u00e9 de la messagerie et ne sont donc pas analys\u00e9s par les filtres et scanners du syst\u00e8me) et de configurer des r\u00e8gles de filtrage du contenu plus complexes. La possibilit\u00e9 de scanner \u00e0 nouveau le contenu de vos e-mails et de contr\u00f4ler les correspondances internes est particuli\u00e8rement importante lorsque vous \u00eates dans une situation de risque, comme les attaques de compromission de la messagerie (BEC) qui permettent aux pirates informatiques d\u2019acc\u00e9der au compte e-mail professionnel.<\/p>\n<p>Kaspersky Security for Microsoft Exchange Server est inclus dans nos solutions <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/mail-server?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_link____mailserver___\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Mail Servers<\/a> et <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security for Business<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Les liens d\u2019hame\u00e7onnage envoy\u00e9s par e-mail aux employ\u00e9s d\u2019une entreprise deviennent souvent malveillants apr\u00e8s avoir \u00e9t\u00e9 analys\u00e9s. Nous devons pouvoir les arr\u00eater. <\/p>\n","protected":false},"author":610,"featured_media":15720,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[505,90],"class_list":{"0":"post-15717","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-e-mail","11":"tag-hameconnage"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/delayed-phishing-countermeasures\/15717\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/delayed-phishing-countermeasures\/21929\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/delayed-phishing-countermeasures\/17405\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/delayed-phishing-countermeasures\/23350\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/delayed-phishing-countermeasures\/21545\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/delayed-phishing-countermeasures\/20159\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/delayed-phishing-countermeasures\/23932\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/delayed-phishing-countermeasures\/22899\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/delayed-phishing-countermeasures\/29129\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/delayed-phishing-countermeasures\/8856\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/delayed-phishing-countermeasures\/37153\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/delayed-phishing-countermeasures\/16104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/delayed-phishing-countermeasures\/13996\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/delayed-phishing-countermeasures\/25217\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/delayed-phishing-countermeasures\/12006\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/delayed-phishing-countermeasures\/26130\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/delayed-phishing-countermeasures\/22906\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/delayed-phishing-countermeasures\/28223\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/delayed-phishing-countermeasures\/28056\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/hameconnage\/","name":"hame\u00e7onnage"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15717","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/610"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15717"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15717\/revisions"}],"predecessor-version":[{"id":15719,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15717\/revisions\/15719"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15720"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15717"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15717"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15717"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}