{"id":15876,"date":"2020-10-29T08:05:09","date_gmt":"2020-10-29T08:05:09","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15876"},"modified":"2020-10-29T08:05:09","modified_gmt":"2020-10-29T08:05:09","slug":"phishing-via-esp","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/phishing-via-esp\/15876\/","title":{"rendered":"Hame\u00e7onnage et services d’emailing marketing"},"content":{"rendered":"

Depuis des ann\u00e9es, les escrocs ont recours \u00e0 plusieurs astuces<\/a> pour contourner les technologies anti-hame\u00e7onnage. Une autre m\u00e9thode, avec des taux de r\u00e9ussite \u00e9lev\u00e9s lorsqu\u2019il s\u2019agit d\u2019envoyer des liens d\u2019hame\u00e7onnage aux victimes, consiste \u00e0 utiliser les services d\u2019emailing marketing, aussi connus sous le nom de fournisseurs de messagerie \u00e9lectronique (ESP), pour envoyer les messages. Selon les statistiques obtenues \u00e0 partir de nos solutions, cette technique gagne de la vitesse.<\/p>\n

Utilisation des ESP pour faire de l\u2019hame\u00e7onnage. Pourquoi\u00a0?<\/h2>\n

Les entreprises qui ne n\u00e9gligent pas les menaces re\u00e7ues par e-mail analysent minutieusement tous les messages, \u00e0 l\u2019aide de programmes anti-hame\u00e7onnage et anti-spam, avant d\u2019en autoriser l\u2019arriv\u00e9e dans la bo\u00eete de r\u00e9ception des utilisateurs. Ces outils scannent le contenu du message, l\u2019en-t\u00eate et les liens mais v\u00e9rifient aussi la r\u00e9putation de l\u2019exp\u00e9diteur et tous les sites Internet associ\u00e9s. Les \u00e9valuations de risque reposent sur une combinaison de tous ces facteurs. Par exemple, si l\u2019exp\u00e9diteur d\u2019un envoi massif de messages est inconnu, l\u2019action est consid\u00e9r\u00e9e comme suspecte et une alerte est envoy\u00e9e aux algorithmes de s\u00e9curit\u00e9.<\/p>\n

Les cybercriminels ont trouv\u00e9 une autre solution\u00a0: envoyer les e-mails au nom d\u2019une institution de confiance. Les services d\u2019emailing marketing, qui g\u00e8rent l\u2019envoi de newsletters de bout en bout, s\u2019acquittent parfaitement de ce r\u00f4le, notamment parce qu\u2019ils sont connus. De nombreux fournisseurs de solutions de s\u00e9curit\u00e9 autorisent leurs adresses IP par d\u00e9faut, et certains d\u00e9sactivent m\u00eame la v\u00e9rification des e-mails envoy\u00e9s depuis ces services.<\/p>\n

Exploitation des ESP<\/h2>\n

Le principal vecteur d\u2019attaque est \u00e9vident\u00a0: de l\u2019hame\u00e7onnage qui se fait passer pour un e-mail l\u00e9gitime. En g\u00e9n\u00e9ral, les cybercriminels deviennent clients du service pris pour cible en choisissant l\u2019abonnement le moins cher. Des d\u00e9penses plus \u00e9lev\u00e9es n\u2019auraient aucun sens d\u2019autant qu\u2019ils s\u2019attendent \u00e0 \u00eatre rapidement identifi\u00e9s et bloqu\u00e9s.<\/p>\n

Il existe toutefois une option plus exotique\u00a0: l\u2019utilisation de l\u2019ESP comme h\u00f4te de l\u2019URL. Dans ce cas, la newsletter est envoy\u00e9e depuis l\u2019infrastructure de la personne \u00e0 l\u2019origine de l\u2019attaque. Par exemple, les cybercriminels peuvent cr\u00e9er une campagne test qui contient une URL d\u2019hame\u00e7onnage et se l\u2019envoyer pour avoir un aper\u00e7u. L\u2019ESP cr\u00e9e un proxy pour cette URL puis les cybercriminels n\u2019ont qu\u2019\u00e0 prendre l\u2019URL proxy pour envoyer leur newsletter d\u2019hame\u00e7onnage. Ils peuvent aussi cr\u00e9er un site Web d\u2019hame\u00e7onnage qui ressemble \u00e0 un mod\u00e8le de message et fournir un lien qui redirige vers cette page. Cette situation est moins courante.<\/p>\n

Quoi qu\u2019il en soit, ce nouveau proxy URL a d\u00e9sormais une r\u00e9putation positive et ne sera pas bloqu\u00e9. L\u2019ESP, qui ne s\u2019occupe pas de l\u2019envoi, ne d\u00e9tecte rien d\u2019anormal et ne bloque pas ce \u00ab\u00a0client\u00a0\u00bb, du moins pas tant que personne ne s\u2019en plaint. Ces techniques sont parfois utilis\u00e9es pour faire du spear-phishing<\/em> (harponnage).<\/p>\n

Opinion des ESP<\/h2>\n

Comme on pouvait s\u2019y attendre, les ESP n\u2019appr\u00e9cient pas vraiment que les cybercriminels se servent d\u2019eux. La plupart dispose de leurs propres technologies de s\u00e9curit\u00e9 qui analysent le contenu des messages et les liens qui passent par les serveurs, et presque tous donnent des conseils aux personnes victimes d\u2019hame\u00e7onnage sur leurs sites.<\/p>\n

Par cons\u00e9quent, les cybercriminels font tout pour que les ESP gardent leur calme. Par exemple, l\u2019utilisation d\u2019un fournisseur pour le proxy a tendance \u00e0 retarder<\/a> les liens d\u2019hame\u00e7onnage donc, au moins de la cr\u00e9ation, les liens des messages tests apparaissent comme l\u00e9gitimes. Ce n\u2019est que plus tard qu\u2019ils deviennent malveillants.<\/p>\n

Que faire<\/h2>\n

Dans de nombreux cas, les envois massifs sont adress\u00e9s au personnel d\u2019une entreprise dont les adresses e-mail sont publiques. M\u00eame les plus vigilants d\u2019entre nous peuvent ne pas d\u00e9tecter un message suspect ou malveillant et cliquer sur quelque chose de dangereux. Pour prot\u00e9ger vos employ\u00e9s des \u00e9ventuelles attaques d\u2019hame\u00e7onnage envoy\u00e9es par les services d\u2019emailing marketing, nous vous conseillons de faire ce qui suit :<\/p>\n