{"id":20490,"date":"2023-04-28T15:56:33","date_gmt":"2023-04-28T13:56:33","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20490"},"modified":"2023-04-28T15:58:31","modified_gmt":"2023-04-28T13:58:31","slug":"what-is-conversation-hijacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/what-is-conversation-hijacking\/20490\/","title":{"rendered":"Comment vous prot\u00e9ger du d\u00e9tournement de conversations"},"content":{"rendered":"

Les attaques cibl\u00e9es par e-mail ne se limitent pas \u00e0 l\u2019hame\u00e7onnage cibl\u00e9 (spear phishing<\/em>) et aux attaques de compromission de la messagerie d\u2019entreprise (BEC)<\/a>. Le d\u00e9tournement de conversations est une autre menace grave. En quelques mots, lors de cette attaque, le cybercriminel rejoint une conversation professionnelle par e-mail et se pr\u00e9sente comme un des participants. Cet article analyse le fonctionnement de cette attaque et les mesures que vous pouvez prendre pour r\u00e9duire les risques.<\/p>\n

Comment les cybercriminels ont-ils acc\u00e8s aux messages ?<\/h2>\n

Pour s\u2019immiscer dans une conversation priv\u00e9e par e-mail, les cybercriminels doivent d\u2019abord avoir acc\u00e8s \u00e0 la bo\u00eete de r\u00e9ception ou aux archives des messages. Ils peuvent utiliser plusieurs astuces pour arriver \u00e0 leurs fins.<\/p>\n

La plus \u00e9vidente consiste \u00e0 pirater la bo\u00eete mail. Lorsqu\u2019il s\u2019agit de services Cloud, l\u2019attaque par force brute du mot de passe est la m\u00e9thode id\u00e9ale\u00a0: les cybercriminels recherchent les mots de passe associ\u00e9s \u00e0 une adresse e-mail en particulier dans les bases de donn\u00e9es de services en ligne qui ont \u00e9t\u00e9 divulgu\u00e9es, puis les saisissent avec l\u2019adresse e-mail professionnelle pour voir s\u2019ils fonctionnent. C\u2019est pourquoi il est crucial de ne pas utiliser les m\u00eames identifiants pour plusieurs services et de ne pas utiliser votre adresse e-mail professionnelle lorsque vous vous inscrivez sur des sites qui n\u2019ont aucun lien avec votre travail. Une autre m\u00e9thode consiste \u00e0 acc\u00e9der aux messages en exploitant les vuln\u00e9rabilit\u00e9s du programme du serveur.<\/p>\n

De fa\u00e7on g\u00e9n\u00e9rale, les acteurs malveillants ne contr\u00f4lent pas longtemps l\u2019adresse e-mail professionnelle, mais c\u2019est g\u00e9n\u00e9ralement suffisant pour t\u00e9l\u00e9charger les archives des messages. Ils cr\u00e9ent parfois des r\u00e8gles de renvoi dans les param\u00e8tres pour recevoir en temps r\u00e9el les messages entrants sur la bo\u00eete de r\u00e9ception. Ils peuvent lire les messages mais pas en envoyer. S\u2019ils souhaitent envoyer des messages, ils auront plut\u00f4t recours \u00e0 une attaque BEC.<\/p>\n

Le programme malveillant est une autre option. Nos coll\u00e8gues ont r\u00e9cemment d\u00e9couvert une campagne de masse de d\u00e9tournement des conversations<\/a> qui cherchait \u00e0 infecter les ordinateurs avec le cheval de Troie QBot. Les e-mails qui contenaient la charge virale des cybercriminels ont probablement \u00e9t\u00e9 envoy\u00e9s par des personnes qui ont aussi \u00e9t\u00e9 victimes du programme malveillant QBot (qui peut acc\u00e9der aux archives locales des messages).<\/p>\n

Pourtant, les hackers autoproclam\u00e9s et les op\u00e9rateurs de programmes malveillants n\u2019ont pas n\u00e9cessairement besoin de d\u00e9tourner les conversations eux-m\u00eames. Les archives des messages sont parfois vendues sur le Dark Web et utilis\u00e9es par d\u2019autres escrocs.<\/p>\n

Quel est le fonctionnement du d\u00e9tournement de conversations ?<\/h2>\n

Les cybercriminels fouillent dans les archives des messages \u00e0 la recherche d\u2019e-mails de diverses entreprises (associ\u00e9s, sous-traitants, fournisseurs, etc.). La date importe peu puisque les escrocs peuvent reprendre une conversation qui remonte \u00e0 des ann\u00e9es. Apr\u00e8s avoir trouv\u00e9 un \u00e9change de messages ad\u00e9quat, ils \u00e9crivent \u00e0 l\u2019une des parties impliqu\u00e9es et se pr\u00e9sentent comme l\u2019autre partie. L\u2019objectif est de leurrer la personne qui re\u00e7oit le message pour la convaincre de faire ce que les escrocs demandent. Avant d\u2019en venir au vif du sujet, ils \u00e9changent parfois plusieurs messages pour que la victime baisse la garde.<\/p>\n

\u00c9tant donn\u00e9 que le d\u00e9tournement de conversations est une attaque cibl\u00e9e, les escrocs utilisent g\u00e9n\u00e9ralement un domaine similaire. Autrement dit, le domaine est tr\u00e8s ressemblant visuellement parlant \u00e0 celui d\u2019un des participants mais contient quelques petites diff\u00e9rences, comme un domaine de premier niveau diff\u00e9rent, une lettre suppl\u00e9mentaire ou un autre symbole qui ressemble \u00e0 l\u2019original.<\/p>\n

<\/a>

Message des cybercriminels : il y a un \u00ab\u00a0n\u00a0\u00bb au lieu d\u2019un \u00ab\u00a0m\u00a0\u00bb dans le nom du domaine.<\/p><\/div>\n

\u00a0<\/p>\n

Pourquoi le d\u00e9tournement de conversations est-il utilis\u00e9 ?<\/h2>\n

Les objectifs du d\u00e9tournement de conversations sont assez ordinaires\u00a0: avoir acc\u00e8s \u00e0 certaines ressources en volant les identifiants de connexion, leurrer la victime pour la convaincre de faire un virement vers le compte des escrocs ou encore obliger la victime \u00e0 ouvrir une pi\u00e8ce jointe malveillante ou \u00e0 cliquer sur un lien qui ouvre un site infect\u00e9.<\/p>\n

Comment vous prot\u00e9ger contre le d\u00e9tournement de conversations\u00a0?<\/h2>\n

Le principal danger que le d\u00e9tournement de conversations repr\u00e9sente est que les messages de ce genre sont assez difficiles \u00e0 d\u00e9tecter \u00e0 l\u2019aide d\u2019outils automatiques. Heureusement, notre arsenal inclut Kaspersky Security for Microsoft Office 365<\/a>, une solution qui d\u00e9tecte les actions de personnes qui essaient de rejoindre discr\u00e8tement les conversations des autres. Pour r\u00e9duire encore plus les risques pour vous et vos coll\u00e8gues, nous vous conseillons de :<\/p>\n