{"id":20133,"date":"2023-02-15T16:18:27","date_gmt":"2023-02-15T14:18:27","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20133"},"modified":"2023-02-14T16:19:08","modified_gmt":"2023-02-14T14:19:08","slug":"email-threats-in-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/email-threats-in-2022\/20133\/","title":{"rendered":"Les menaces par e-mail en 2022"},"content":{"rendered":"<p>La pand\u00e9mie a compl\u00e8tement chamboul\u00e9 les menaces par messagerie \u00e9lectronique. Le passage massif au t\u00e9l\u00e9travail et le transfert in\u00e9vitable de la plupart des communications \u00e0 un format en ligne ont stimul\u00e9 la croissance des attaques par hame\u00e7onnage et <a href=\"https:\/\/www.kaspersky.com\/blog\/what-is-bec-attack\/34135\/\" target=\"_blank\" rel=\"noopener nofollow\">BEC<\/a>. Ce flux plus important de correspondance professionnelle a \u00e9norm\u00e9ment simplifi\u00e9 le travail des cybercriminels et leur a permis de dissimuler plus facilement leurs messages parmi les e-mails l\u00e9gitimes. C\u2019est pourquoi l\u2019imitation de messages professionnels est devenue un vecteur d\u2019attaque important. Diverses astuces d\u2019ing\u00e9nierie sociale, comme une notification qui demande \u00e0 la victime de r\u00e9pondre imm\u00e9diatement \u00e0 un e-mail, ont un nouveau souffle. Voici les principales tendances que nous avons observ\u00e9es en 2022\u00a0:<\/p>\n<ul>\n<li>Hausse de l\u2019envoi de spams avec un contenu malveillant pour infecter l\u2019ordinateur de la victime<\/li>\n<li>Utilisation active des m\u00e9thodes d\u2019ing\u00e9nierie sociale dans des e-mails malveillants qui ressemblent plus \u00e0 du harponnage (<em>spear phishing<\/em>). Ajouter des signatures qui imitent des services sp\u00e9cifiques, utiliser des termes professionnels et un contexte appropri\u00e9 pour l\u2019entreprise cibl\u00e9e, utiliser le <em>piggybacking<\/em> des \u00e9v\u00e9nements actuels et mentionner les employ\u00e9s de l\u2019entreprise.<\/li>\n<li>Usage g\u00e9n\u00e9ralis\u00e9 de l\u2019usurpation d\u2019identit\u00e9 (<em>spoofing<\/em>) avec l\u2019utilisation d\u2019adresses e-mail dont les noms de domaine sont similaires \u00e0 ceux des entreprises prises pour cible (avec seulement quelques lettres diff\u00e9rentes).<\/li>\n<\/ul>\n<p>Par cons\u00e9quent, les escrocs qui envoient des spams malveillants ont r\u00e9ussi \u00e0 faire croire qu\u2019il s\u2019agissait de messages internes et professionnels entre les entreprises, voire de notifications d\u2019institutions publiques. Voici les exemples les plus repr\u00e9sentatifs que nous avons rencontr\u00e9s cette ann\u00e9e.<\/p>\n<h2>Des e-mails avec un programme malveillant<\/h2>\n<p>La principale tendance de l\u2019ann\u00e9e qui vient de s\u2019\u00e9couler a \u00e9t\u00e9 l\u2019envoi de messages malveillants qui se pr\u00e9sentent comme des conversations professionnelles. Pour que le destinataire ouvre la pi\u00e8ce jointe ou t\u00e9l\u00e9charge le fichier associ\u00e9, les cybercriminels essaient g\u00e9n\u00e9ralement de le convaincre que l\u2019e-mail contient des informations importantes, comme une offre commerciale ou la facture d\u2019une livraison. Le programme malveillant se trouve g\u00e9n\u00e9ralement dans une archive chiffr\u00e9e, et le mot de passe se trouve dans le corps du message.<\/p>\n<p>Par exemple, tout au long de l\u2019ann\u00e9e nous avons trouv\u00e9 la m\u00e9thode suivante\u00a0: les cybercriminels ont eu acc\u00e8s \u00e0 des conversations professionnelles banales (probablement en les volant d\u2019un ordinateur infect\u00e9 auparavant) et ont envoy\u00e9 de nouveaux messages \u00e0 tous les participants avec des fichiers ou des liens malveillants. En d\u2019autres termes, ils ont pu d\u00e9velopper une conversation plausible. Avec cette astuce, il est plus difficile de d\u00e9tecter les e-mails malveillants et la victime est plus susceptible de cliquer.<\/p>\n<p>Dans la plupart des cas, lorsqu\u2019un document malveillant s\u2019ouvre, il s\u2019agit du cheval de Troie Qbot ou Emotet. Les deux programmes peuvent voler les donn\u00e9es utilisateur, recueillir les informations du r\u00e9seau de l\u2019entreprise ou distribuer un autre programme malveillant, comme un ran\u00e7ongiciel. De plus, Qbot peut \u00eatre utilis\u00e9 pour acc\u00e9der aux e-mails et les voler. Il est utilis\u00e9 comme source de correspondance pour lancer d\u2019autres attaques.<\/p>\n<p>La fin de l\u2019ann\u00e9e approche et les e-mails malveillants sont de plus en plus originaux. Par exemple, d\u00e9but d\u00e9cembre, les escrocs ont fait croire qu\u2019ils \u00e9taient une organisation caritative et ont demand\u00e9 aux victimes de donner leur vieux mat\u00e9riel. \u00c9videmment, pour participer \u00e0 cette noble cause, l\u2019utilisateur devait t\u00e9l\u00e9charger un fichier qui \u00e9tait soi-disant la liste des dispositifs accept\u00e9s. En r\u00e9alit\u00e9, la pi\u00e8ce jointe \u00e9tait un fichier ex\u00e9cutable malveillant cach\u00e9 dans une archive prot\u00e9g\u00e9e par un mot de passe.<\/p>\n<p>Lors d\u2019une autre campagne, les escrocs faisaient r\u00e9f\u00e9rence \u00e0 des factures et envoyaient des dizaines de milliers d\u2019archives avec un cheval de Troie malveillant qui contenait une porte d\u00e9rob\u00e9e et permettait de prendre le contr\u00f4le de l\u2019ordinateur infect\u00e9 \u00e0 distance. Plus int\u00e9ressant encore, l\u2019archive jointe avaient des extensions comme .r00, .r01, etc. Il est fort probable que les cr\u00e9ateurs voulaient partager la pi\u00e8ce jointe dans le cadre d\u2019une archive RAR plus importante afin de d\u00e9jouer les syst\u00e8mes de protection automatique configur\u00e9s pour certaines extensions de fichiers.<\/p>\n<h2>De fausses notifications du gouvernement<\/h2>\n<p>Les e-mails qui imitent les communications officielles de minist\u00e8res ou d\u2019autres services du gouvernement ont \u00e9t\u00e9 plus courants cette ann\u00e9e. Cette tendance est particuli\u00e8rement vraie pour les utilisateurs d\u2019Internet qui parlent russe. Les e-mails de ce genre sont personnalis\u00e9s selon le profil de l\u2019entreprise prise pour cible. L\u2019adresse de l\u2019exp\u00e9diteur ressemble g\u00e9n\u00e9ralement au nom du domaine du service r\u00e9el et la pi\u00e8ce jointe malveillante a souvent un sujet pertinent comme \u00ab\u00a0Conclusions des r\u00e9sultats de la r\u00e9union\u00a0\u00bb. Une pi\u00e8ce jointe de ce genre contenait un code malveillant qui permettait d\u2019exploiter une vuln\u00e9rabilit\u00e9 dans Equation Editor, un composant de Microsoft Office.<\/p>\n<p>\u00a0<\/p>\n<h2>Le <em>piggybacking<\/em> des \u00e9v\u00e9nements actuels<\/h2>\n<p>Nous avons \u00e9galement constat\u00e9 une hausse de l\u2019activit\u00e9 de messages malveillants qui reposent sur l\u2019actualit\u00e9 pour les utilisateurs Internet qui parlent russe. Par exemple, en octobre les cybercriminels ont distribu\u00e9 un programme malveillant qui se faisait passer pour des appels de commande et exploitait la \u00ab\u00a0mobilisation partielle\u00a0\u00bb de la Russie. Les e-mails mentionnaient le code p\u00e9nal russe, utilisaient le logo et le style du minist\u00e8re de la d\u00e9fense, et demandaient au destinataire de t\u00e9l\u00e9charger le document via le lien fourni. En r\u00e9alit\u00e9, le lien ouvrait une archive avec un script ex\u00e9cutable qui cr\u00e9ait un fichier ex\u00e9cutable et le lan\u00e7ait.<\/p>\n<p>\u00a0<\/p>\n<p>De plus, nous avons enregistr\u00e9 un message soi-disant envoy\u00e9 par les forces de l\u2019ordre russes. Le message demandait \u00e0 la victime de t\u00e9l\u00e9charger une \u00ab\u00a0nouvelle solution\u00a0\u00bb afin de se prot\u00e9ger contre les menaces en ligne d\u2019organisations \u00ab\u00a0hostiles\u00a0\u00bb. Pourtant, le programme vraiment install\u00e9 sur l\u2019ordinateur \u00e9tait un cheval de Troie ran\u00e7ongiciel.<\/p>\n<p>\u00a0<\/p>\n<h2>Comment vous prot\u00e9ger<\/h2>\n<p>Les techniques utilis\u00e9es par les cybercriminels sont de plus en plus sophistiqu\u00e9es et les m\u00e9thodes qui consistent \u00e0 imiter les messages professionnels sont de plus en plus convaincantes. Afin de prot\u00e9ger votre infrastructure contre les attaques par e-mail, faites attention aux mesures organisationnelles et techniques. En d\u2019autres termes, en plus des solutions de s\u00e9curit\u00e9 install\u00e9es au niveau du <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/mail-server?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_link____mailserver___\" target=\"_blank\" rel=\"noopener\">serveur de messagerie<\/a> et sur tous les <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">dispositifs connect\u00e9s \u00e0 Internet<\/a>, nous vous conseillons de <a href=\"https:\/\/k-asap.com\/fr\/?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">former r\u00e9guli\u00e8rement vos employ\u00e9s en cybers\u00e9curit\u00e9<\/a>.<\/p>\n<p>\u00a0<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Quelles astuces ont \u00e9t\u00e9 le plus utilis\u00e9es en 2022 lors de l\u2019envoi d\u2019e-mails malveillants ?<\/p>\n","protected":false},"author":2704,"featured_media":20134,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[3698,161,90,4330,89],"class_list":{"0":"post-20133","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-bec","10":"tag-cheval-de-troie","11":"tag-hameconnage","12":"tag-menaces-par-e-mail","13":"tag-phishing"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/email-threats-in-2022\/20133\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/email-threats-in-2022\/24974\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/email-threats-in-2022\/20471\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/email-threats-in-2022\/27541\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/email-threats-in-2022\/25305\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/email-threats-in-2022\/26033\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/email-threats-in-2022\/28418\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/email-threats-in-2022\/27451\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/email-threats-in-2022\/34405\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/email-threats-in-2022\/46582\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/email-threats-in-2022\/20731\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/email-threats-in-2022\/29783\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/email-threats-in-2022\/33023\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/email-threats-in-2022\/28757\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/email-threats-in-2022\/25677\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/email-threats-in-2022\/31352\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/email-threats-in-2022\/31054\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/menaces-par-e-mail\/","name":"menaces par e-mail"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2704"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20133"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20133\/revisions"}],"predecessor-version":[{"id":20136,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20133\/revisions\/20136"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20134"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}