Rapides et difficiles à arrêter, les intrusions qui collectent des données d’identification ciblent des applications courantes. C’est le cas du logiciel de prises de notes Evernote avec une recrudescence de l'hébergement de documents malveillants via cet outil bureautique.

A la panoplie très conséquente des cibles pour les pirates numériques, s’ajoute la compromission des messageries professionnelles, via des attaques BEC (Business Email Compromise). Leur mode opératoire est bien connu et met en œuvre des courriers électroniques frauduleux qui incitent les utilisateurs à effectuer des virements bancaires qui se chiffrent en dizaines voire centaines de milliers de dollars ou d’euros en une seule intrusion. A la clé, le vol de données sensibles et critiques. Les courriers frauduleux semblent provenir du PDG ou autre cadre de haut rang de l'entreprise, en réalité des pirates qui exigent le silence sur l’opération.

Jeremy Fuchs, chercheur et analyste en cybersécurité chez Avanan, filiale de Check Point, explique en détail ce processus malveillant via les liens qui figurent dans les pages d’Evernote hébergeant des factures envoyées lors de l’attaque. Un message joint est envoyé directement par le prétendu chef d’entreprise. Il s'agit d'un compte compromis, crédible puisqu’il est issu d’Evernote si cet outil est utilisé par l’entreprise. Autre élément crédible, le fait que la véritable adresse du PDG figure dans le champ expéditeur de la messagerie. La compromission du compte d’un haut responsable pouvant s’effectuer de multiples façons, e-mail, texte, message vocal, chat, partage de fichiers.

En bref, le message joint dans un courrier frauduleux  conduit à un e-mail prétendument sécurisé. Un lien renvoie à une page Evernote. Cette dernière application ainsi que d’autres sites web légitimes sont de plus en plus mis à profit pour pirater des comptes et voler des identifiants via une fausse page de connexion.

Comment se défendre contre les attaques BEC

Pour bloquer ce type de menace,  les solutions font appel à des algorithme d’IA et de machine learning , ce qui ne dispense surtout pas d’appliquer des règles de bon sens. Par exemple, interpréter le contenu d'un e-mail, fautes éventuelles, contexte et le ton du message pour déduire s’assurer de sa crédibilité. Question basique à se poser, le PDG de l'entreprise envoie t-il souvent des liens vers Evernote ? C’est une pratique qui n’est pas majoritaire parmi les dirigeants.

Bien entendu, les outils de détection doivent savoir détecter les liens et les pièces jointes malveillantes. Parmi les bonnes pratiques, il est très utile de créer des processus clairs et efficaces pour les employés lors du paiement de factures et bien évidement la saisie d'identifiants qui sont les précieux sésames d’une organisation de travail.

L’authenticité d’un email de toute demande suspecte de versement doit, être vérifiée dans le header du message (en-tête) à la ligne Received : From . Si le nom de l’expéditeur qui suit est suspect, le mail est frauduleux. Cette opération peut être automatisée.

La détection et la réécriture des URL malveillantes est un vecteur d’attaque à contrer. Des outils de sécurité peuvent vérifier la destination d’un lien détecté malveillant.

Pour éviter les attaques BEC, les outils de détection doivent cohabiter avec une vraie politique de sécurisation et de sensibilisation du personnel.